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Introducere 


Ghidul de audit al sistemelor informatice constituie o extensie a Manualului de audit al 
sistemelor informatice elaborat în cadrul Curţii de Conturi a României (CCR) şi detaliază 
implementarea practică a procedurilor de audit în medii informatizate, transpunând la 
nivel operațional elementele cu caracter metodologic prezentate în manual. 


Manualul se axează preponderent, pe descrierea celor mai noi concepte, metode, tehnici și 
proceduri aferente contextului general al auditului sistemelor informatice, precum și pe 
problematica auditului sistemelor informatice financiar-contabile. 


In timp ce manualul se concentrează pe aspectele strict necesare înțelegerii conceptelor, 
standardelor, metodologiilor și procedurilor asociate auditului IT/IS 1 fără de care un 
auditor nu poate aborda corect acest domeniu, ghidul prezintă în mod concret, activitățile, 
procesele, tehnicile, procedurile și documentele specifice acestui tip de audit și furnizează 
auditorilor publici externi informaţii practice privind evaluarea mediului informatizat, 
facilitând integrarea procedurilor proprii ale auditului IT/IS în contextul misiunilor de 
audit în care auditorii publici externi sunt implicați. 


În ceea ce priveşte tipul şi conţinutul acţiunilor de verificare desfăşurate de CCR (acţiuni 
de control, misiuni de audit financiar şi misiuni de audit al performanței), în condiţiile 
extinderii pe scară largă a informatizării instituţiilor publice, auditul IT/IS constituie o 
componentă a misiunilor de audit ale CCR, având la bază cerințele Regulamentului privind 
organizarea și desfășurarea activităţilor specifice Curţii de Conturi, precum și valorificarea 
actelor rezultate din aceste activităţi. În acest context, ghidul prezintă în detaliu 
procedurile de audit specifice mediului informatizat pe care auditorii trebuie să le aplice 
atunci când evaluează disponibilitatea, integritatea şi confidenţialitatea informaţiilor care 
provin din sistemul informatic financiar-contabil în scopul formulării unei opinii în 
legătură cu încrederea în acestea. 


Structura documentului 


Documentul este structurat după cum urmează: un capitol introductiv, cinci capitole 
dedicate problemelor de fond, o listă de referinţe bibliografice şi un număr de anexe 
(glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entității, 
machete și liste de verificare) 


Capitolul 1 cuprinde o sinteză a problematicii generale specifice auditului sistemelor 
informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor 
informatice şi aspectele specifice evaluării sistemelor informatice financiar-contabile. 


Capitolul 2 prezintă în detaliu procedurile de audit IT pentru evaluarea mediului 
informatizat: obținerea informaţiilor de fond privind sistemele IT ale entității auditate 
(Procedurile A1 - A7), evaluarea controalelor generale IT (Procedurile B1 - B8), 
evaluarea controalelor de aplicație (Procedurile CA1 - CA13). Aceste proceduri au fost 


! Information Technology / Information Systems 
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prezentate la nivel teoretic în Manualul auditului sistemelor informaticeZ. Pentru aspectele 
tehnice teoretice, în ghid se fac trimiteri la prezentările din manual. 

Referitor la cazul particular al sistemelor informatice financiar-contabile, în Capitolul 2, 
este prezentată o listă a criteriilor și cerințelor minimale formulate de Ministerul 
Finanţelor Publice, pentru sistemele informatice financiar-contabile. 


În Capitolul 3 este prezentată metodologia de evaluare a riscurilor generate de existența 
mediului informatizat, precum și impactul semnificativ al acestor sisteme atât asupra 
activității entităților, cât și asupra riscului de audit. 


Capitolul 4 prezintă metodologia de evaluare a sistemelor informatice pentru entități mici 
(de exemplu, primării), care au în dotare, în multe cazuri, un singur calculator. 


În Capitolul 5 se face o prezentare a documentelor de lucru specifice auditului IT/IS. Sunt 
atașate modele relevante pentru machete şi liste de verificare. 


? Ediţia 2012 
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Capitolul 1. Problematica generală 


Prezentul capitol descrie într-o manieră sintetică problematica generală asociată 
domeniului auditului sistemelor informatice, referitoare la utilizarea unui cadru 
metodologic și procedural orientat pe fluxul activităților care se desfășoară în cadrul unei 
misiuni de audit IT, misiune care are ca scop investigarea şi evaluarea conformităţii 
proceselor care au loc în cadrul unei entități cu cerințele unui cadru de reglementare, 
respectiv un set de standarde, bune practici, legislație, metodologii. Rezultatele evaluărilor 
se materializează în constatări şi concluzii care reflectă opiniile auditorului prin prisma 
obiectivelor misiunii de audit. În cazul constatării unor neconformităţi, auditorul 
formulează recomandări pentru remedierea acestora şi perfecționarea activității entității. 


Subiectele abordate sunt următoarele: 


a) problematica generală specifică auditului IT (domeniul de aplicare, documente de 
referință (reglementări) aplicabile în domeniul auditului IT/IS, obiective generale și 
obiective specifice ale auditului IT/IS, criterii de evaluare generice, determinarea 
naturii și volumului procedurilor de audit, revizuirea controalelor IT în cadrul 
misiunilor de audit în medii informatizate), 


b) evaluarea riscurilor generate de implementarea şi utilizarea sistemelor 
informatice, 


c) tehnici și metode de audit, 
d) colectarea, inventarierea și documentarea probelor de audit, 


e) elaborarea raportului de audit. 


1.1 Auditul sistemelor informatice 


În concordanţă cu cadrul de lucru INTOSAI şi cu standardele asociate, în ceea ce priveşte 
tipul şi conţinutul acțiunilor de verificare desfăşurate de Curtea de Conturi a României 
(acțiuni de control, misiuni de audit financiar şi misiuni de audit al performanţei), în 
condițiile extinderii accentuate a informatizării instituţiilor publice, auditul sistemelor 
informatice poate constitui o componentă a acestor acțiuni sau se poate desfășura de sine 
stătător, de regulă prin misiuni de audit al performanţei implementării şi utilizării de 
sisteme, soluții informatice sau servicii electronice care fac obiectul unor programe 
naţionale sau proiecte complexe de impact pentru societate, având efecte în planul 
modernizării unor domenii sau activități. 


1.1.1 Domeniul de aplicare 


Datorită extinderii misiunilor de audit și a acțiunilor de control care se desfășoară în 
medii informatizate, se accentuează necesitatea asigurării convergenței metodelor și 
standardelor de audit financiar cu metodele și standardele de audit IT. Pentru a verifica 
satisfacerea cerințelor pentru informaţie (eficacitate, eficiență,  confidenţialitate, 
integritate, disponibilitate, conformitate și încredere), se are în vedere, auditarea 
sistemului informatic care furnizează informaţia financiar-contabilă. 
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Având în vedere contextul actual, în Regulamentul privind organizarea și desfășurarea 
activităţilor specifice Curţii de Conturi, precum și valorificarea actelor rezultate din aceste 
activități, a fost inclusă evaluarea sistemelor informatice financiar-contabile ca fiind o 
componentă obligatorie pentru toate acțiunile de control și audit desfășurate în medii 
informatizate. În acest cadru, este obligatorie colectarea informaţiilor privind controalele 
IT implementate în sistemul de control intern al entității auditate, prin intermediul 
Chestionarului pentru evaluarea sistemului IT. 


In cadrul acţiunilor de control și audit financiar desfăşurate de către structurile Curţii de 
Conturi, auditorii publici externi vor efectua evaluări ale sistemelor informatice existente 
la entitățile auditate, pentru a determina dacă sistemele și aplicaţiile furnizează informaţii 
de încredere pentru acțiunile respective. 

Constatările vor evidenția punctele tari şi punctele slabe ale sistemului informatic și vor 
menționa aspectele care trebuie remediate. Pe baza acestora se vor formula recomandări 
privind perfecționarea structurii de procese, controale şi proceduri IT existente. 
Principalele constatări, concluzii şi recomandări formulate pe parcursul misiunii de audit 
vor fi sintetizate și vor fi înaintate conducerii entității auditate, constituind obiectul 
valorificării raportului de audit. Modul de implementare a recomandărilor și stadiul 
implementării acestora vor fi revizuite periodic, la termene comunicate entității auditate. 


În cadrul Curţii de Conturi, auditul sistemelor informatice este un audit de tip 
multidisciplinar cu caracter transversal, interdepartamental. Curtea de Conturi va 
desfășura orice misiuni de audit IT menite să creeze condiţiile optime pentru derularea 
eficientă a celorlalte forme de control şi audit şi să ofere suportul tehnic pentru aceste 
misiuni. 


Extinderea utilizării tehnologiei informaţiei în toate domeniile, inclusiv în cel al sistemelor 
financiar-contabile, care presupune atât extinderea controalelor IT în cadrul sistemului de 
control intern al entităţilor auditate/controlate, cât şi existența unor programe și proiecte 
de mare anvergură finanțate din fonduri publice, materializate în investiţii IT cu valori 
foarte mari, generează necesitatea perfecționării modelelor tradiționale de auditare şi 
extinderea auditului sistemelor informatice în activitatea Curţii de Conturi. 


Scopul generic al misiunilor de audit al sistemelor informatice este obţinerea unei 
asigurări rezonabile asupra implementării și funcționării sistemului, în conformitate cu 
prevederile legislaţiei în vigoare, cu reglementările în domeniu, cu standardele 
internaţionale şi ghidurile de bune practici, precum şi evaluarea sistemului din punctul de 
vedere al furnizării unor servicii informatice de calitate sau prin prisma performanței 
privind modernizarea administraţiei şi asigurarea încrederii în utilizarea mijloacelor 
electronice. 


1.1.2 Documente de referinţă (reglementări) aplicabile în domeniul 
auditului IS/IT 


e Constituţia României; 

e Legea nr. 94/1992 privind organizarea și funcţionarea Curţii de Conturi, cu 
modificările și completările ulterioare; 

e Regulamentul privind organizarea și desfășurarea activităților specifice Curţii de 
Conturi, precum și valorificarea actelor rezultate din aceste activităţi; 
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e Manualul de audit al sistemelor informatice, elaborat de Curtea de Conturi a 
României, ediția 2012 

e Manualul de auditul performanței, elaborat de Curtea de Conturi a României, ediția 
2012. 


1.1.3 Etapele auditului sistemelor informatice 


Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, 
raportarea și revizuirea auditului. 


Acestea sunt detaliate în Manualul de audit al sistemelor informatice, elaborat de Curtea de 
Conturi a României, ediţia 2012. 


1.1.4 Obiective generale şi obiective specifice ale auditului IT / IS 


Obiectivele misiunii de audit au un rol determinant în abordarea auditului, din acestea 
decurgând cerinţe și restricții privind desfășurarea activităților în toate etapele misiunii 
de audit: planificarea auditului, efectuarea auditului, raportare și revizuire. 


Abordarea generală a auditului IT/IS se bazează pe evaluarea riscurilor. Pentru auditul 
performanţei implementării și utilizării sistemelor informatice se asociază şi abordarea pe 
rezultate. Auditul se poate efectua pentru întreg ciclul de viaţă al sistemelor și aplicațiilor 
informatice sau se poate raporta numai la anumite componente specificate sau la anumite 
etape de dezvoltare a sistemului. 


Pentru misiunile de audit IT/IS desfășurate de Curtea de Conturi, formularea obiectivelor 
generale se face în funcție de scopul evaluării: audit în medii informatizate (formularea 
unei opinii referitoare la încrederea în informaţiile furnizate de sistemul informatic 
pentru o acțiune de control/misiune de audit financiar sau audit al performanţei) sau 
evaluarea performanţei unei activităţi bazate pe tehnologia informației. 


În funcție de tematica auditului, auditorul public extern are sarcina de a clarifica 
obiectivele auditului, de a identifica referențialul pentru efectuarea auditării (standarde, 
bune practici, reglementări, reguli, proceduri, dispoziţii contractuale, etc.) și de a examina 
gradul în care cerinţele care decurg sunt aplicate şi contribuie la realizarea obiectivelor 
entității. 


În principiu, există două categorii de probleme care pot constitui obiective generale ale 
auditului: 
+ stabilirea conformităţii rezultatelor entității cu un document de referință, 
conformitate asupra căreia trebuie să se pronunţe auditorul; 
+ evaluarea eficacității cadrului procedural şi de reglementare și a focalizării acestuia 
pe obiectivele entității. 


Pornind de la obiectivul general, se formulează obiective specifice care determină direcțiile 
de audit, cerințele concrete și criteriile care vor sta la baza evaluărilor. Ca obiective 
specifice generice, se vor avea în vedere: 

= Evaluarea soluţiilor arhitecturale și de implementare a sistemului informatic; 

=" Evaluarea infrastructurii hardware şi software: echipamente, sisteme, aplicaţii; 

= Evaluarea implicării managementului de la cel mai înalt nivel în perfecționarea 

guvernanţei IT; 
= Evaluarea calităţii personalului utilizator al sistemelor și aplicaţiilor informatice; 
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Evaluarea securităţii sistemului informatic; 

Evaluarea disponibilității și accesibilității informațiilor; 

Evaluarea continuității sistemului; 

Evaluarea managementului schimbărilor şi al dezvoltării sistemului; 

Evaluarea sistemului de management al documentelor; 

Evaluarea utilizării serviciilor electronice disponibile; 

Evaluarea schimbului de informaţii şi a comunicării cu alte instituţii; 

Conformitatea cu legislația în vigoare; 

Identificarea și analiza riscurilor decurgând din utilizarea sistemului informatic, 
precum și a impactului acestora; 

Evaluarea efectelor implementării și utilizării infrastructurii IT în modernizarea 
activității entității auditate. 


1.1.5 Criterii de evaluare generice 


Misiunea de audit al sistemelor informatice are în vedere următoarele criterii de evaluare 
generice: 


Dacă sistemul informatic asigură un cadru adecvat, bazat pe integrarea 
tehnologiilor informatice pentru desfășurarea continuă a activității; 

Dacă activitățile desfășurate pe parcursul derulării proiectelor IT/IS sunt conforme 
cu obiectivele și termenele de realizare, aprobate la nivel instituțional, la 
fundamentarea acestora; 

Dacă pe parcursul proiectelor s-au înregistrat dificultăți tehnice, de implementare 
sau de altă natură; 

Dacă implementarea proiectelor conduce la modernizarea activităţii entității, 
contribuind la integrarea unor noi metode de lucru, adecvate și conforme cu noile 
abordări pe plan european și internaţional; 

Dacă este asigurată continuitatea sistemului; 

Dacă sistemul informatic funcționează în conformitate cu cerințele programelor și 
proiectelor informatice privind integralitatea, acuratețea și veridicitatea, precum și 
cu standardele specifice de securitate; 

Dacă soluţia tehnică este fiabilă și susține funcţionalitatea cerută în vederea 
creşterii calității activității; 

Dacă pregătirea utilizatorilor atinge nivelul performanţei cerute de această nouă 
abordare, analizată prin prisma impactului cu noile tehnologii; 

Dacă există şi au fost respectate standarde privind calitatea suportului tehnic şi 
metodologic. 


Criteriile de audit pot fi diferite de la un audit la altul, în funcţie de obiectivele specifice ale 
misiunii de audit. 


1.1.6 Determinarea naturii și volumului procedurilor de audit 


Natura și volumul procedurilor de audit necesare pentru evaluarea controalelor aferente 
mediului informatizat variază în funcție de obiectivele auditului și de alţi factori care 
trebuie luați în considerare: natura şi complexitatea sistemului informatic al entității, 
mediul de control al entității, precum şi conturile și aplicațiile semnificative pentru 
obținerea situaţiilor financiare. 


Auditorul public extern cu atribuţii de evaluare a sistemului IT şi auditorul public extern 
cu atribuţii de auditare a situaţiilor financiar contabile trebuie să coopereze pentru a 
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determina care sunt activitățile care vor fi incluse în procesul de revizuire. Când auditul 
sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor 
IT face parte dintr-un efort consistent atât de evaluare a controalelor, cât şi de evaluare a 
fiabilității datelor financiare raportate. 


1.1.7 Revizuirea controalelor IT în cadrul misiunilor de audit financiar 


Misiunile de audit financiar au un rol central în furnizarea unor informaţii financiare mai 
fiabile şi mai utile factorilor de decizie şi în perfecționarea sistemului de control intern 
pentru a fi adecvat cu sistemele de management financiar. 

Controalele IT aferente mediului informatizat (controale IT generale) reprezintă un 
factor semnificativ în atingerea acestor scopuri și în înțelegerea de către auditor a 
structurii controlului intern al entității. Aceste obiective de control trebuie luate în 
considerare pentru întregul ciclu de viaţă al sistemului. De asemenea, se va analiza modul 
în care aceste controale afectează eficacitatea sistemului de control intern al entității. 


Structurarea obiectivelor de control pe criteriul domenii-procese-activităţi 

Cadrul de lucru COBIT reprezintă un referenţial atât pentru management, cât şi pentru 
auditori, oferind un set extins de 210 obiective de control pentru evaluarea controalelor 
generale IT, care se referă la toate activităţile legate de ciclul de viață al uni sistem 
informatic agregate în 34 de procese conţinute de cele patru domenii 
(Planificare&Organizare, Achiziţie&Implementare, Furnizare&Suport și 
Monitorizare&Evaluare). 


Structurarea obiectivelor de control pe criterii funcţionale 

Obiectivele de control conținute de cadrul COBIT pot fi structurate pe criterii funcționale 
în următoarele categorii de controale generale: 

Managementul funcţiei IT; 

Securitatea fizică și controalele de mediu; 

Securitatea informaţiei și a sistemelor; 

Continuitatea sistemelor; 

Managementul schimbării și al dezvoltării sistemului; 

Auditul intern. 


NOR WNR 


În efectuarea evaluării mediului informatizat, structurarea obiectivelor de control pe criterii 
funcționale este mai accesibilă pentru auditori, întrucât conține similitudini conceptuale cu 
abordările aferente altor tipuri de audit. Din acest considerent, o recomandăm pentru a fi 
adoptată în auditurile în medii informatizate desfășurate de Curtea de Conturi. 

Prezentul ghid se raportează la această abordare, procedurile și listele de verificare fiind 
proiectate și prezentate pentru cele 6 secțiuni menționate mai sus: Managementul funcţiei 
IT; Securitatea fizică și controalele de mediu; Securitatea informației și a sistemelor; 
Continuitatea sistemelor; Managementul schimbării și al dezvoltării sistemului; Auditul 
intern. 


De o importanță deosebită este revizuirea controalelor de aplicaţie care oferă 
informaţii importante despre funcționarea şi securitatea aplicaţiei financiar-contabile şi 
ajută la formularea opiniei în legătură cu încrederea în datele şi rezultatele furnizate de 
sistemul informatic financiar-contabil, pentru misiunea de audit care se desfășoară în 
mediul informatizat. 


In cazul în care din evaluarea controalelor generale IT şi a controalelor de aplicație rezultă 
că sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul 
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funcționării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit 
financiar. 


În cadrul entităților auditate, o categorie specială de controale IT se referă la 
conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ și de 
reglementare. Cerinţele legislative şi de reglementare includ: 
e Legislaţia din domeniul finanțelor și contabilităţii; 
e Legislația privind protecția datelor private și legislaţia privind protecția datelor 
personale; 
e Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității 
informatice; 
e Reglementări financiare şi bancare; 
e Legile cu privire la proprietatea intelectuală. 


1.1.8 Evaluarea riscurilor 


Pentru acțiunile de control şi misiunile de audit, de o deosebită importanţă este 
identificarea riscurilor care rezultă din utilizarea unui sistem contabil bazat pe tehnologii 
informatice. Aceste riscuri măresc probabilitatea apariției unor prezentări semnificativ 
eronate în situaţiile financiare, fapt ce ar trebui luat în considerare de management şi de 
auditori. 


Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: dependenţa de 
funcționarea echipamentelor și programelor informatice, vizibilitatea pistei de audit, 
reducerea implicării factorului uman, erori sistematice versus erori incidentale, accesul 
neautorizat, pierderea datelor, externalizarea serviciilor IT/IS, lipsa separării sarcinilor, 
absența autorizării tradiționale, lipsa de experiență în domeniul IT. Aceste riscuri au la 
bază o serie de vulnerabilităţi tipice: 


+  slabaimplicareaa managementului; 

+ obiective neatinse sau îndeplinite parțial; 

+ inițiative nefundamentate corespunzător; 

+ sisteme interne de control organizate sau conduse necorespunzător; 

+ controale fizice şi de mediu slabe care generează pierderi importante cauzate de 
calamităţi naturale, furturi, etc.; 

+ lipsa încrederii în tehnologia informaţiei; 

+ lipsa de interes față de planificarea continuității sistemului (proceduri de salvare a 
datelor, securitatea sistemului informatic, recuperarea în caz de dezastru); 

+ calitatea necorespunzătoare a serviciilor furnizate utilizatorilor sistemului; 

+ cheltuieli nejustificate: intranet, Internet, resurse umane; 

+ costuri și depășiri semnificative ale termenelor; 

+ existența unor reclamaţii, observaţii, contestaţii. 


Descrierea riscurilor identificate de auditorii publici externi trebuie să includă informaţii 
privind cauzele şi impactul posibil al acestora, precum şi nivelul de risc (mic, mediu sau 
mare) evaluat de auditorul public extern pe baza raţionamentului profesional. Ca 
instrument de lucru se poate utiliza matricea prezentată în Tabelul 1. Conţinutul ariilor de 
risc este detaliat în Anexa 4. 


Pag. 13 din 180 


Descrierea riscurilor 


Tabelul 1 


Ameninţări | Vulnerabilităţi| Probabilitate Impact 
de apariţie 
Arii de Risc Evenimente | Slăbiciuni ale % Major (Mare) 
nedorite controalelor IT Mediu 
Scăzut (Mic) 


Dependenţa de sistemul 
informatic 


Resurse și cunoștințe IT 


Increderea în sistemul 
informatic 


Schimbările în sistemul 
informatic 


Externalizarea serviciilor 
de tehnologia informaţiei 


Focalizarea pe activitate 


Securitatea informației și a 
sistemului 


Managementul tehnologiei 
informaţiei 
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1.1.9 Tehnici şi metode de audit 


Metodele și tehnicile utilizate pentru colectarea informaţiilor pe parcursul misiunii de 
audit sunt: 

o Prezentări în cadrul unor discuţii cu reprezentanții managementului entității 
auditate; 

o Realizarea de interviuri cu persoane cheie implicate în coordonarea, 
monitorizarea, administrarea, întreţinerea și utilizarea sistemului informatic; 
Utilizarea chestionarelor şi machetelor şi listelor de verificare; 

Examinarea unor documentaţii tehnice, economice, de monitorizare şi de 
raportare: grafice de implementare, corespondenţă, rapoarte interne, situații de 
raportare, rapoarte de stadiu al proiectului, registre de evidență, documentații de 
monitorizare a utilizării, contracte, sinteze statistice, metodologii, standarde; 
Participarea la demonstraţii privind utilizarea sistemului ; 

Utilizarea tehnicilor şi instrumentelor de audit asistat de calculator (IDEA sau alte 
aplicaţii realizate în acest scop); 

Inspectii în spaţiile alocate serverelor şi stațiilor de lucru; 

Inspecţii în spaţiile alocate depozitelor de date sau locațţiilor de depozitare a 
copiilor de back-up; 

Consultarea legislației aferente tematicii; 

Documentarea pe Internet în scopul informării asupra unor evenimente, 
comunicări, evoluţii legate de sistemul IT sau pentru consultarea unor 
documentaţii tehnice. 


1.1.10 Colectarea, inventarierea şi documentarea probelor de 
audit 


Colectarea şi inventarierea probelor de audit se referă la constituirea fondului de date în 
format electronic şi/sau în format tipărit, pe baza machetelor, chestionarelor şi a listelor 
de verificare completate, precum și la organizarea și stocarea acestora. 


Natura probelor de audit este dependentă de scopul auditului și de modelul de auditare 
utilizat. Deşi modelele de auditare pot diferi în ceea ce priveşte detaliile, ele reflectă și 
acoperă cerința comună de a furniza o asigurare rezonabilă că obiectivele şi criteriile 
impuse în cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfăcute. 
Procedurile de obţinere a probelor de audit sunt: interogarea, observarea, inspecția, 
confirmarea, reconstituirea traseului tranzacţiei și a prelucrărilor (parcurgerea fluxului 
informaţional și de prelucrare) și monitorizarea. 


Obținerea probelor de audit și înscrierea acestora în documentele de lucru reprezintă 
activități esenţiale ale procesului de audit. Documentele de lucru se întocmesc pe măsura 
desfășurării activităților din toate etapele auditului. Documentele de lucru trebuie să fie 
întocmite și completate cu acuratețe, să fie clare şi inteligibile, să fie lizibile şi aranjate în 
ordine, să se refere strict la aspectele semnificative, relevante și utile din punctul de 
vedere al auditului. 

Aceleași cerințe se aplică și pentru documentele de lucru utilizate în format electronic. 


Documentarea corespunzătoare a activității de audit are în vedere următoarele 
considerente: 


e  Confirmă și susține opiniile auditorilor exprimate în raportul de audit; 
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e Îmbunătăţeşte performanţa activităţii de audit; 

e Constituie o sursă de informaţii pentru pregătirea raportului de audit sau pentru a 
răspunde oricăror întrebări ale entității auditate sau ale altor părți interesate; 

e Constituie dovada respectării de către auditor a standardelor și a manualului de 
audit; 

e  Facilitează monitorizarea auditului; 

e  Furnizează informații privind expertiza în audit. 


Documentele de lucru, elaborate în format tipărit, vor fi organizate în dosare, iar 
documentele elaborate în format electronic vor fi organizate în colecţii de fişiere şi/sau 
baze de date. 

Documentele trebuie să fie prezentate într-o manieră inteligibilă, coerentă, consistentă cu 
obiectivele auditului. 


Pentru descrierea sistemelor entității auditate se utilizează următoarele tipuri de 
documente: diagrame de tip flowchart, prezentări narative, machete, chestionare și liste de 
verificare. Alegerea acestor tehnici variază în funcție de practicile locale de audit, de 
preferința personală a auditorului și de complexitatea sistemelor auditate. 


1.1.11 Formularea constatărilor și recomandărilor 


Evaluarea și revizuirea sistemului informatic se fac prin analiza constatărilor rezultate și 
interpretarea acestora. În funcție de impactul pe care îl au neconformităţile constatate, se 
formulează recomandări pentru remedierea acestora și reducerea nivelului riscurilor. 
Aceste recomandări reflectă opiniile auditorului asupra entității auditate prin prisma 
obiectivelor misiunii de audit. Sintetic, constatările se vor referi la următoarele aspecte: 
evaluarea complexității sistemelor informatice, evaluarea generală a riscurilor entității în 
cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei aplicaţii, precum şi un punct de 
vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale. 


1.1.12 Elaborarea raportului de audit 


Raportarea are ca scop punerea în evidenţă a punctelor slabe ale controalelor, identificate 
de auditor și aducerea lor la cunoştinţa entității auditate prin intermediul raportului de 
audit şi al unei scrisori care conţine sinteza principalelor constatări și recomandări. 


Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp 
şi aria de acoperire ale activităţii de auditare efectuate. 


Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit 
şi va include cele mai semnificative constatări, recomandări şi concluzii care au rezultat în 
cadrul misiunii de audit cu privire la stadiul şi evoluția implementării şi utilizării 
sistemelor informatice existente în entitatea auditată. Raportul va include, de asemenea, 
opinia auditorilor cu privire la natura și extinderea punctelor slabe ale controlului intern 
în cadrul entității auditate și impactul posibil al acestora asupra activității entității. 


Raportul de audit al sistemelor informatice trebuie să fie obiectiv și corect, să cuprindă 
toate constatările relevante, inclusiv cele pozitive, să fie constructiv și să prezinte 
concluziile și recomandările formulate de echipa de audit. 


In situația în care pe parcursul misiunii de audit se constată: erori / abateri grave de la 
legalitate şi regularitate, fapte pentru care există indicii că au fost săvârşite cu încălcarea 
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legii penale sau nerealizarea obiectivelor propuse de entitate în legătură cu programul / 
procesul /activitatea auditat(ă) datorită nerespectării principiilor economicităţii, eficienţei 
şi eficacității în utilizarea fondurilor publice și în administrarea patrimoniului public şi 
privat al statului/unităţilor administrativ-teritoriale, se întocmesc proces verbal de 
constatare, precum și celelalte tipuri de acte prevăzute la pct. 354 din Regulamentul 
privind organizarea și desfășurarea activităţilor specifice Curţii de Conturi, precum și 
valorificarea actelor rezultate din aceste activităţi, aceste acte constituind anexe la 
raportul de audit al sistemelor informatice. 


Detaliile referitoare la aspectele metodologice privind raportul de audit se regăsesc în 
Manualul de audit al sistemelor informatice (CCR, 2012) 


1.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS 


Auditul sistemelor/serviciilor informatice? reprezintă o activitate de evaluare a 
sistemelor informatice prin prisma optimizării gestiunii resurselor informatice 
disponibile (date, aplicații, tehnologii, facilități, resurse umane, etc.), în scopul atingerii 
obiectivelor entității, prin asigurarea unor criterii specifice: eficiență, confidenţialitate, 
integritate, disponibilitate, siguranță în funcționare şi conformitate cu un cadru de 
referință (standarde, bune practici, cadru legislativ, etc.). 


Prin utilizarea sistemelor informatice, se modifică abordarea auditului (care se desfăşoară 
în medii informatizate) datorită noilor modalități de prelucrare, stocare şi prezentare a 
informaţiilor, furnizate de aplicațiile informatice, fără a schimba însă obiectivul general și 
scopul auditului. 


Procedurile tradiționale de colectare a datelor și de interpretare a rezultatelor utilizate de 
auditorii financiari sunt înlocuite, total sau parțial, cu proceduri informatizate. Existenţa 
sistemului informatic poate afecta sistemele interne de control utilizate de entitate, 
modalitatea de evaluare a riscurilor, performanţa testelor de control și a procedurilor de 
fond utilizate în atingerea obiectivului auditului. 


Cu toate că prezenţa tehnologiei informaţiei nu modifică obiectivele fundamentale ale 
auditului, prin specificul lor, sistemele informatice pot influența opinia auditorului cu 
privire la risc sau pot impune ca auditorul să adopte o abordare diferită a misiunii de 
audit. 
Principalele aspecte implicate de auditarea în mediul informatizat, care pot induce 
ambiguităţi sau erori pe parcursul auditului, sunt: 
(a) se poate permite anonimatul prin depersonalizarea utilizatorului și, implicit, se 
pot induce confuzii cu privire la răspundere; 
(b) se pot permite modificări neautorizate sau neautentificate ale datelor contabile; 
(c) se poate permite duplicarea intrărilor sau a prelucrărilor; 
(d) sistemele informatice sunt vulnerabile la accesul de la distanță și neautorizat; 
(e) se pot ascunde sau se pot face invizibile unele procese; 


3 în funcție de problematica referită, în cadrul prezentului document se folosesc și variantele distincte audit 
IT/audit IS, cu semnificația corespunzătoare, respectiv auditul arhitecturilor și infrastructurilor IT 
(hardware, software, comunicaţii şi alte facilități utilizate pentru introducerea, memorarea, prelucrarea, 
transmiterea şi ieşirea datelor, în orice formă), precum şi auditul sistemelor, aplicațiilor și serviciilor 
informatice. 
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(f) se poate șterge sau ascunde pista de audit (traseul tranzacţiilor); 

(g) se pot difuza date, în mod neautorizat, în sistemele distribuite; 

(h) aplicaţiile pot fi operate de contractanţi externi, care utilizează standarde şi 
controale proprii sau pot altera informaţiile în mod neautorizat. 


În cazul auditului unui sistem informatic care furnizează informaţii relevante pentru o 
misiune de audit financiar, evaluarea sistemului informatic se efectuează în scopul furnizării 
unei asigurări rezonabile privind funcţionarea sistemului, necesare auditului financiar la 
care este supusă entitatea. 


În cazul în care informaţiile necesare auditului sunt furnizate de aplicaţii sau sisteme 
complexe, este necesară consultarea sau participarea în cadrul echipei de audit a unui 
specialist care posedă cunoștințe și aptitudini specializate în domeniul auditului 
sistemelor informatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii în 
scopul înţelegerii semnificației și complexității procedurilor informatice, a prelucrării 
datelor furnizate de sistemul informatic, precum și pentru înțelegerea sistemului de 
control intern, în scopul planificării și abordării auditului, adecvate la noile tehnologii şi va 
formula recomandări privind punctele slabe ale sistemului informatic, în vederea 
remedierii anomaliilor constatate. 

Evaluarea va avea ca rezultat formularea unei opinii privind încrederea pe care o asigură 
sistemul informatic, în condiţiile utilizării sale ca sursă de informaţii sau ca suport pentru 
audit (programe de audit asistat de calculator), în cadrul misiunii de audit. 


Complexitatea sistemului informatic este conferită de o serie de caracteristici relative la: 
volumul tranzacţiilor, procedurile de validare a datelor sau a transferurilor de date între 
aplicaţii, generarea automată a tranzacţiilor, comunicaţia cu alte aplicații sau sisteme 
informatice, complexitatea algoritmilor de calcul, utilizarea unor informații provenite din 
surse de date externe (existente la alte entităţi) fără validarea acestora. 


Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrări adiționale, prin 
furnizarea informaţiilor solicitate în formate cerute de auditor, în scopul interpretării sau 
al utilizării ca date de intrare pentru programe specializate de audit asistat de calculator. 
Acest mod de lucru contribuie la creșterea performanţei în efectuarea testelor de fond, 
prin aplicarea unor proceduri analitice automatizate, precum şi a performanţei 
procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator. 


Sistemele informatice au unele caracteristici inerente care pot afecta atât abordarea 
auditului, cât și evaluarea efectuată de auditor cu privire la riscul de audit. Unele 
caracteristici ale sistemului informatic sporesc acest risc şi reclamă o atenţie specială din 
partea auditorului. Dintre acestea, cele mai importante suntt: 

+ stabilirea răspunderii, 

e vulnerabilitatea la modificări, 

e ușurința copierii, 

+ riscurile accesului de la distanţă, 

+ procesare invizibilă, 

+ existența unui parcurs al auditului, 

+ distribuirea datelor, 

+ încrederea în prestatorii de servicii IT, 

+ utilizarea înregistrărilor furnizate de calculator ca probă de audit. 


+ Detalii în Manualul de audit al sistemelor informatice (CCR, 2012) 
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1.3 Evaluarea sistemelor informatice financiar-contabile 


În conformitate cu standardul ISA 400, “Evaluarea Riscului şi Controlului Intern”, 
auditorul va analiza dacă mediul de control şi procedurile de control aplicate de entitate 
activităților proprii desfăşurate în mediul informatizat, în măsura în care acestea sunt 
relevante pentru aserţiunile situaţiilor financiare, este un mediu sigur. În cazul sistemelor 
informatice, atunci când procedurile sunt automatizate, când volumul tranzacţiilor este 
mare sau când probele electronice nu pot fi urmărite pe tot parcursul fluxului de 
prelucrare, auditorul poate decide că nu este posibil să reducă riscul de audit la un nivel 
acceptabil decât prin utilizarea testelor detaliate de audit. În astfel de cazuri sunt frecvent 
utilizate tehnici de audit asistat de calculator. 


De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de 
importante următoarele aspecte ale controlului intern: (a) menținerea integrității 
procedurilor de control în mediul informatizat și (b) asigurarea accesului la înregistrări 
relevante pentru a satisface necesităţile entității, precum și în scopul auditului. 


Auditorul va analiza exhaustivitatea, acuratețea și autorizarea informaţiilor furnizate 
pentru înregistrarea şi procesarea înregistrărilor financiare ale entității (integritatea 
tranzacţiei). Natura şi complexitatea aplicaţiilor influențează natura și amploarea 
riscurilor referitoare la înregistrarea şi procesarea tranzacţiilor electronice. 


Procedurile de audit referitoare la integritatea informației, aferente tranzacţiilor 
electronice, se axează în mare parte pe evaluarea credibilității sistemelor utilizate pentru 
prelucrarea tranzacţiilor. Utilizarea serviciilor informatice inițiază, în mod automat, alte 
secvențe de prelucrare a tranzacţiei față de sistemele tradiționale. Procedurile de audit 
pentru sistemele informatice trebuie să se concentreze asupra controalelor automate 
referitoare la integritatea tranzacţiilor, pe măsură ce acestea sunt înregistrate și apoi 
procesate imediat. 


Intr-un mediu informatic, controalele referitoare la integritatea tranzacţiei sunt în 
majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrărilor și 
prevenirea duplicării sau a omiterii tranzacţiilor. 


În general, tranzacţiile electronice nu au asociate înregistrări scrise şi pot fi mult mai ușor 
de distrus sau de alterat decât cele scrise, fără a lăsa nici o urmă a distrugerii sau alterării. 
Auditorul trebuie să stabilească dacă politicile de securitate a informaţiei și controalele de 
securitate ale entității sunt implementate adecvat pentru prevenirea modificărilor 
neautorizate ale înregistrărilor contabile, ale sistemului contabil sau ale sistemelor care 
furnizează date sistemului contabil. Aceasta se poate realiza prin testarea controalelor 
automate, cum ar fi verificările de integritate a datelor, ştampile de dată electronică, 
semnături digitale și controale de versiune în vederea stabilirii autenticității și integrităţii 
probelor electronice. În funcţie de estimările cu privire la aceste controale, auditorul 
poate considera necesară efectuarea unor proceduri suplimentare, cum ar fi confirmarea 
detaliilor tranzacţiilor sau a soldurilor conturilor cu terţe părți”. 


Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica şi 
înregistra acţiunile utilizatorilor individuali nu pot să-i facă ulterior răspunzători de 
acțiunile lor. Utilizatorii sunt mult mai înclinați să efectueze activităţi informatice 
neautorizate daca nu pot fi identificați şi făcuţi răspunzători. 


5 ISA 505 - Confirmări Externe 
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Riscul procesării de tranzacţii neautorizate poate fi redus prin prezența unor controale 
care identifică utilizatorii individuali și întreprind acțiuni de contracarare a eventualelor 
acțiuni ostile ale acestora. Riscul poate fi redus prin obligativitatea autentificării la 
accesarea sistemului şi prin introducerea unor controale suplimentare, sub formă de 
semnături electronice. 


Având în vedere faptul că datele tranzacţiilor electronice se regăsesc într-o formă 
intangibilă pe diverse medii de stocare, acestea pot fi modificate fără a lăsa nici o urmă. 
Auditorii trebuie să evalueze existența și eficacitatea controalelor care previn efectuarea de 
modificări neautorizate. Controale neadecvate pot conduce la situaţia în care auditorul să 
nu poată acorda încredere înregistrărilor din calculatoare sau integrităţii pistei de audit 
(traseului tranzacţiilor). 


Programul de aplicație şi datele tranzacţiei trebuie să fie protejate față de modificări 
neautorizate prin utilizarea de controale adecvate ale accesului fizic şi logic. 


Plățile prin calculator, ca și transferurile electronice de fonduri, sunt mult mai ușor de 
modificat decât instrumentele de plată pe hârtie şi de aceea trebuie sa aibă o protecție 
adecvată. Integritatea tranzacţiilor electronice poate fi protejată prin tehnici precum 
criptarea datelor, semnături electronice sau prin utilizarea unui algoritm de dispersare a 
datelor. 


Dacă datele au valoare financiară, prevenirea dublării tranzacţiilor prin copiere este în 
mod deosebit importantă. Sistemele utilizatorului trebuie să încorporeze controale care să 
detecteze și să prevină procesarea de tranzacţii duble. 

Controalele pot include atribuirea de numere secvențiale tranzacţiilor şi verificarea de 
rutină a totalurilor de control. 


Fișierele pe hârtie pot fi uşor protejate față de accesul neautorizat prin implementarea 
unor controale ale accesului fizic. Mijloace similare de protecție pot fi utilizate pentru 
protecția dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice și dischete). Dacă 
datele sunt accesibile pe o reţea de calculatoare, atunci apare un grad de incertitudine cu 
privire la cine are acces la software și la fişierele de date. Conectarea sistemelor de 
calculatoare la reţeaua globală Internet mărește substanțial riscul de acces neautorizat de 
la distanţă și de atacuri cu viruși sau alte forme de alterare a informaţiei sau de distrugere a 
unor sisteme informatice. Protejarea reţelelor conectate la Internet poate fi dificil de 
realizat şi necesită controale de nivel înalt, specializate. 


Unele sisteme de operare asigură controale ale accesului care limitează capacitatea 
utilizatorilor de la distanță să vadă, să modifice, să șteargă sau să creeze date. Controalele 
de acces ale sistemului de operare pot fi mărite prin controale suplimentare de 
identificare şi autorizare în cadrul fiecărei tranzacţii. În ambele cazuri, eficacitatea 
controalelor de acces depinde de proceduri de identificare și autentificare și de o bună 
administrare a sistemelor de securitate. 


Procesarea tranzacţiilor care are loc în interiorul calculatorului este invizibilă pentru 
auditor. Auditorii pot vedea ceea ce intră şi ceea ce iese, dar au puține informații cu privire 
la ceea ce se întâmplă pe parcurs. Această slăbiciune poate fi exploatată de programe 
neautorizate ascunse în programele autorizate. Amenințarea modificărilor neautorizate 
poate fi redusă prin adoptarea de proceduri adecvate de control al modificărilor, inclusiv 
controale eficiente de acces, activarea şi revizuirea jurnalelor de operații, precum şi o 
separare eficientă a sarcinilor între actorii implicaţi în sistem. 
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În cazul tranzacţiilor electronice, în care pista de audit (parcursul tranzacţiilor) se 
reconstituie din înregistrări stocate pe un calculator, auditorul trebuie să se asigure că 
datele privind tranzacţiile sunt păstrate un timp suficient şi că au fost protejate față de 
modificări neautorizate. Capacitatea limitată de stocare a unor calculatoare poate 
restricționa cantitatea de date istorice aferente tranzacţiilor care trebuie păstrate. În 
aceste cazuri, auditorul trebuie să impună arhivarea regulată a evidențelor contabile şi 
acestea să fie păstrate într-un mediu sigur. Auditorul poate, de asemenea, să analizeze 
impactul posibil al regulilor de arhivare a datelor organizației atunci când planifică 
auditul. 


Calculatoarele în rețea au capacitatea de a stoca aplicaţii financiare şi fişiere de date pe 
orice dispozitive de stocare din rețea. Auditorul se poate afla în fața unui sistem care 
rulează o aplicaţie financiară pe un calculator și stochează fişierele cu tranzacţii procesate 
pe un calculator din altă sală, din altă clădire sau chiar din altă țară. Procesarea datelor 
distribuite complică evaluarea de către auditor a controalelor de acces fizic şi logic. Mediul 
de control poate fi foarte bun într-un anumit loc, dar foarte slab în alt loc, iar 
eterogenitatea mediului informatizat creşte riscul de audit. 


Principiile referitoare la probele de audit nu se schimbă datorită faptului că auditul se 
realizează într-un mediu informatizat. Înregistrările din calculator furnizează auditorului 
o asigurare de audit. Auditorul poate, de asemenea, să genereze probe de audit utilizând 
tehnicile de audit asistat de calculator. 


O problemă deosebit de importantă generată de mediul informatizat o constituie 
admisibilitatea înregistrărilor din calculator la o instanță de judecată. Din studiul literaturii 
de specialitate, rezultă că sunt puţine precedente care să ilustreze acest fapt. În cazurile în 
care probele informatice au fost depuse în acțiuni judecătorești, instanţele au luat în 
considerare o expertiză cu privire la eficiența mediului de control IT, înainte de a evalua 
fiabilitatea datelor informatice. 

Auditorul va avea în vedere faptul că tranzacțiile sau imaginile de documente provenind 
de la calculator pot să nu fie admisibile ca probe în justiție dacă nu se poate demonstra că 
există controale destul de puternice care să înlăture dubiul rezonabil privind 
autenticitatea și integritatea datelor conţinute în sistem. În ceea ce priveşte tranzacţiile 
electronice, aceste controale sunt deosebit de complexe. 


Evaluarea sistemelor IT cuprinde trei părți: 


A - Colectarea informaţiilor de fond privind sistemele IT ale entității auditate 
permite auditorului cunoașterea sistemelor IT hardware și software ale acesteia, 
precum și a nivelului resurselor umane implicate în activități IT. Informaţiile 
privind dimensiunea, tipul şi complexitatea tehnică a sistemelor informatice 
permit auditorilor să evalueze dacă este necesar sprijinul unui auditor IT specialist. 
De asemenea, auditorul va identifica sistemele financiare în curs de dezvoltare, 
care necesită, în continuare, implicarea acestuia în formularea de cerinţe privind 
unele facilități de audit care să fie incluse în noua versiune. Colectarea informaţiilor 
de fond privind sistemele IT ale entității auditate trebuie să fie finalizată înainte ca 
auditorul să realizeze o evaluare a mediului de control IT sau a procedurilor de 
control ale aplicaţiei. 


B - Evaluarea mediului de control IT și evaluarea riscului entității este 
utilizată pentru a evalua controalele și procedurile care operează în cadrul 
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mediului de control IT. Punctele slabe identificate în mediul de control IT pot 
submina eficacitatea procedurilor de control în cadrul fiecărei aplicaţii financiare. 


C - Evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile: 
auditorul trebuie să efectueze evaluarea controalelor aplicaţiei și evaluarea riscului 
zonei contabile pentru a examina procedurile de control, sistemele de control 
intern și riscurile de audit în cadrul fiecărei aplicaţii financiar-contabile. 


1.3.1 Informaţii de fond privind sistemele IT / IS ale entității auditate 


Prima parte a evaluării sistemelor informatice se referă la colectarea informaţiilor de fond 
privind sistemele IT ale entității auditate. Această etapă va trebui să fie finalizată înainte 
de evaluarea detaliată a controalelor IT, întrucât contribuie la cunoașterea sistemului de 
către auditor care, pe baza informațiilor colectate, va realiza analiza mediului de control 
IT şi a controalelor aplicaţiei. 


Pe baza acestei analize, auditorul obține o înţelegere preliminară a situației cu care va fi 
confruntat pe parcursul evaluării IT. De asemenea, sunt furnizate indicaţii cu privire la 
documentațţiile tehnice care trebuie consultate înainte de vizitarea entității auditate, de 
exemplu documentațţii privind sistemele de operare şi aplicaţiile de contabilitate. 


În funcţie de concluziile acestei etape, referitoare la configuraţia şi complexitatea 
sistemului care face obiectul auditului, auditorul poate să stabilească dacă este oportun 
sau nu să implice specialiști în audit IT în echipa de audit. Factorii care vor afecta această 
decizie includ: 


e abilitățile și experiența IT a auditorului - auditorii nu trebuie să realizeze 
evaluări IT dacă consideră că nu au abilităţile necesare sau experiența 
necesară; 

e dimensiunea (volumul) operațiilor entității auditate - operaţiile informatice de 
volume mari tind să fie mai complexe atât în ceea ce priveşte sistemele propriu- 
zise, cât și din punctul de vedere al structurilor organizatorice; 

e complexitatea tehnică a echipamentului IT și a rețelei - sistemele mai complexe, 
care încorporează tehnologii noi, vor necesita asistența specialiştilor IT pentru 
a identifica şi a evalua riscurile de audit; 

e cazul în care utilizatorii sistemului dezvoltă și utilizează aplicații sau au 
capacitatea de a modifica pachetele contabile standard - în general, există un 
risc crescut de audit în situaţia în care utilizatorii dezvoltă sau personalizează 
aplicaţiile contabile. În multe cazuri, se personalizează aplicaţii contabile sau 
structuri de date (extrase din bazele de date ale sistemului), pentru a satisface 
unele cerinţe ale auditorului; 

e antecedente de probleme IT - în cazul în care auditorii au avut în trecut 
probleme cu sistemele IT ale entității auditate, de exemplu, unde există 
antecedente legate de erori ale utilizatorului, greşeli de programare, fraudă 
informatică sau încălcări grave ale securităţii; 

e cazul în care sistemele informatice sau tranzacţiile pe care le procesează 
furnizează informaţii sensibile - implică ameninţări crescute; 

e sisteme în curs de dezvoltare - auditorul poate fi solicitat să formuleze puncte de 
vedere cu privire la specificaţiile și planurile de implementare ale noilor 
sisteme financiare. 
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În etapa de colectare a informaţiilor de fond privind sistemele IT ale entității auditate, 
sunt furnizate de asemenea detalii administrative, referitoare la personalul din cadrul 
departamentelor financiar-contabil și IT ale entității auditate. 


1.3.2 Controale IT generale 


Controlul este definit ca totalitatea politicilor, procedurilor, practicilor și a structurilor 
organizaționale proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele 
afacerii vor fi atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate. 


Controalele pot fi materializate sub următoarele forme sau acțiuni: 

+  Afirmaţii declarative ale managementului privind creşterea valorii, reducerea 
riscului, securitatea; 

+ Politici, proceduri, practici și structuri organizaționale; 

+ Sunt concepute spre a asigura in mod acceptabil faptul că obiectivele afacerii vor fi 
atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate; 

+ Managementul organizaţiei trebuie să facă unele alegeri privind obiectivele de 
control: selectarea obiectivelor care sunt aplicabile, decizia privind controalele 
care vor fi puse în practică; 

+ Alegerea modului de a implementa controalele (frecvenţă, durată, grad de 
automatizare etc.); 

+ Acceptarea riscului neimplementării controalelor aplicabile. 


Cerinţele obiectivelor de control sunt de a defini: scopurile și obiectivele proceselor; 
răspunderea privind procesul; repetabilitatea procesului; rolurile și responsabilitaea; 
politici, planuri și proceduri; îmbunătăţirea performanței procesului. 

Implementarea unor controale eficace reduce riscul, creşte probabilitatea obținerii de 
valoare și îmbunătăţeşte eficiența prin diminuarea numărului de erori și printr-o 
abordare managerială consistentă. 


Controalele IT generale se referă la infrastructura IT a entității auditate, la politicile IT 
aferente, la procedurile și practicile de lucru. Acestea trebuie să se concentreze, din 
punctul de vedere al auditorului, pe procesele specifice departamentului IT sau ale 
compartimentului cu atribuţii similare şi nu sunt specifice pachetelor de programe sau 
aplicaţiilor. 


În cadrul evaluării controalelor de nivel înalt, adoptate de management pentru a se 
asigura că sistemele informatice funcționează corect şi satisfac obiectivele afacerii, 
auditorul poate determina dacă activitățile IT sunt controlate adecvat iar controalele 
impuse de entitatea auditată sunt suficiente. 
În cadrul evaluării este necesară examinarea următoarelor aspecte: 

+  Detectarea riscurilor asociate controalelor de management neadecvate; 

e Structura organizaţională IT; 

+ Strategia IT şi implicarea managementului de vârf; 

+ Politici de personal şi de instruire; 

+ Documentație şi politici de documentare (politici de păstrare a 

documentelor); 

e Politici de externalizare; 

+ Implicarea auditului intern; 

e Politici de securitate IT; 

+  Conformitatea cu reglementările în vigoare; 

+ Separarea atribuţiilor. 
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Politicile IT de nivel înalt, procedurile şi standardele sunt foarte importante în stabilirea 
unui cadru de control intern adecvat. Auditorul trebuie să fie capabil să identifice 
componentele controlului intern, aferente mediului informatizat, fiecare având obiective 
diferite: 
+ Controale operaţionale: funcții și activități care asigură că activitățile 
operaționale contribuie la obiectivele afacerii; 
+ Controale administrative: asigură eficiența şi conformitatea cu politicile de 
management, inclusiv controalele operaționale. 
+ Controalele de aplicaţie; 


Obiectivele de control aferente mediului informatizat se axează pe: evaluarea calității 
managementului, securitatea fizică şi controalele de mediu, securitatea informaţiei şi a 
sistemului IT, continuitatea sistemului, managementul schimbării și al dezvoltării 
sistemului, funcționalitatea aplicaţiilor, calitatea auditului intern cu privire la sistemul IT. 


Există unele considerente speciale care trebuie avute în vedere atunci când se realizează 
evaluarea controalelor IT: 


+ examinarea inițială a sistemelor IT ale entității auditate se realizează pe 
zone contabile diferite, tranzacţiile procesate de o aplicație putând parcurge 
diverse fluxuri de prelucrare în cadrul sistemului IT, fiecare dintre acestea 
fiind supusă unor riscuri de audit diferite. 

+ importanța sistemelor informatice în raport cu producerea situațiilor 
financiare şi cu contribuţia la obiectivele afacerii. 

+ aplicabilitatea și oportunitatea auditului bazat pe/asistat de calculator. 
Aceasta va permite identificarea procedurilor de control ale aplicaţiei și o 
evaluare inițială a oportunității lor. 

+ relația controalelor IT cu mediul general de control. Se va avea în vedere ca 
existența controalelor manuale, care diminuează punctele slabe ale 
sistemului IT, să fie luată integral în considerare. 


Evaluarea mediului de control IT 


Evaluarea controalelor IT generale vizează identificarea punctelor tari, a punctelor slabe 
şi a riscurilor în cadrul mediului general de control IT. Riscurile identificate în mediul 
general de control IT pot atenua eficiența controalelor în aplicaţiile care se bazează pe 
acestea și deci pot fi descrise ca riscuri la nivelul entității. Evaluarea IT va fi utilizată de 
auditor pentru a identifica extinderea şi natura riscurilor generale de audit IT asociate cu 
utilizarea de către entitatea auditată a sistemelor informatice în domeniul financiar- 
contabil. 


Evaluarea începe cu examinarea cadrului procedural implementat de entitatea auditată, 
care va permite auditorului să formuleze un punct de vedere relativ la oportunitatea 
strategiei IT, a managementului, auditului intern și politicilor de securitate ale acesteia. 
Răspunsurile la întrebările adresate în cadrul interviurilor vor da auditorului o vedere 
preliminară rezonabilă asupra mediului de control IT. Experienţa a arătat că entitățile cu 
reguli IT puţine sau necorespunzătoare nu sunt în măsură să aibă un mediu de control 
intern adecvat. 


Analiza include, de asemenea, o evaluare a controalelor generale în cadrul 
departamentului IT, referitoare la configurația hardware, software şi de comunicații, 
precum şi la resursele umane care au atribuţii în domeniul IT: controlul privind accesul 
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fizic, controlul privind accesul logic, controlul operațional, procedurile de management al 
schimbărilor, planificarea recuperării după dezastru, utilizarea de prestatori externi de 
servicii IT, controlul asupra aplicaţiilor dezvoltate şi rulate de utilizatorii înșiși, separarea 
sarcinilor. 


Punctele slabe identificate în mediul general de control IT vor influența eficacitatea 
tuturor controalelor din cadrul aplicaţiilor care rulează pe configurația respectivă. De 
exemplu, auditorul va acorda puţină încredere controalelor de intrare pentru o tranzacție 
rulată de aplicaţie în situația în care baza de date suport a fost neprotejată față de 
modificările neautorizate. 


Odată finalizată, analiza va permite auditorului să facă o evaluare a riscurilor în cadrul 
mediului general de control IT al entității auditate. În general, pentru o entitate cu un 
mediu de control IT insuficient, evaluarea riscurilor IT va conduce în mod normal la o 
concluzie de risc înalt de audit. Dacă mediul general de control IT este evaluat ca 
insuficient, poate fi încă posibil să se acorde o oarecare încredere controalelor de 
compensare sau controalelor foarte puternice în cadrul aplicaţiilor. Este de asemenea 
posibil ca o aplicaţie financiară să aibă controale foarte slabe cu toate că mediul de control 
IT suport are controale puternice. 


1.3.3 Evaluarea aplicaţiei şi evaluarea riscurilor zonei contabile 


Controalele de aplicaţie 


Aplicațiile reprezintă unul sau mai multe programe de calculator care realizează o 
funcționalitate orientată către un scop precizat. Aplicațiile pot fi dezvoltate special pentru 
o organizație, respectiv sisteme la comandă, sau pot fi cumpărate sub formă de pachete/ 
soluţii software de la furnizorii externi. 


Cele mai răspândite pachete de aplicații întâlnite de auditorii financiari sunt: pachete 
integrate de contabilitate, sisteme de state de plată, de personal, de pensii, registre de 
active fixe, sisteme de management al împrumuturilor nerambursabile. 


Toate aplicaţiile financiare trebuie să conțină controale proprii care să asigure 
integritatea, disponibilitatea şi confidenţialitatea, atât a datelor tranzacţiilor, cât şi a 
datelor permanente. În realitate, sistemele nu conţin toate controalele posibile pentru 
fiecare componentă. Entitatea trebuie să evalueze riscurile pentru fiecare aplicaţie și să 
aibă implementate controale adecvate, eficiente din punct de vedere al costurilor pentru a 
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut în vedere când se 
formulează recomandările auditului. 


Controalele de aplicație sunt particulare pentru o aplicație și pot avea un impact direct 
asupra prelucrării tranzacţiilor individuale. 


Ele se referă, în general, la acele controale incluse în aplicație pentru a asigura că numai 
tranzacţiile valide sunt prelucrate și înregistrate complet şi corect în fișierele aplicaţiei, 
precum și la controalele manuale care operează în corelaţie cu aplicația. 


O mare parte a controalelor de aplicaţii sunt versiuni automatizate ale controalelor 
manuale. De exemplu, autorizarea prin intermediul calculatorului de către supervizor este 
similară cu utilizarea semnăturii pe documente tipărite. 
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Există și controale de aplicație manuale, cum ar fi: analiza formatelor rapoartelor de 
ieşire, inventarierea situaţiilor de ieșire, etc.. 


Controalele de aplicație sunt proceduri specifice de control asupra aplicaţiilor, care 
furnizează asigurarea că toate tranzacțiile sunt autorizate și înregistrate, prelucrate 
complet, corect şi la termenul stabilit. Controalele de aplicație pot fi constituite din 
proceduri manuale efectuate de utilizatori (controale utilizator) și din proceduri automate 
sau controale efectuate de produse software. 


Încrederea în controalele de aplicaţie 


În etapa de cunoaștere a entității, când sunt colectate informaţiile de fond despre sistemul 
IT, auditorul trebuie să obțină o înţelegere suficientă a sistemului pentru a determina dacă 
sistemul de control intern este de încredere și furnizează informaţii corecte despre 
acurateţea înregistrărilor. În cazul în care sistemul nu pare a fi suficient de robust, 
auditorul trebuie să testeze controalele pentru a evalua riscul asupra obiectivelor 
auditului. 

În acest scop auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi 
bazate pe programe de test al conformităţii care conţin informaţii privind: descrierea 
controlului care va fi testat, proba de audit estimată pentru satisfacerea condiţiilor, teste 
extinse (inclusiv bazate pe eşantionare), descrierea funcționării eronate a controlului, câte 
eşecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici cum ar 
fi observarea, interviul, examinarea și eșantionarea, cu tehnici de audit asistat de calculator. 


Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot 
sintetiza astfel: 


(a) Controalele IT nu furnizează un istoric al operării din cauza „scufundării” lor în 
corpul aplicaţiei şi, în consecință, nu furnizează probe de audit explicite. 

(b) Perioada de timp în care acționează controalele de aplicaţie IT este limitată, 
acestea acționând pe o durată foarte scurtă a ciclului de viață al tranzacţiei (de 
exemplu, pe durata introducerii datelor). 

(c) Rezervele auditorilor față de controalele de aplicaţie IT, datorate eventualității 
ca acestea să fie alterate de către persoane interesate în inducerea în eroare a 
auditorului. 

(d) Rezervele auditorilor față de controlul preventiv asigurat, decurgând din natura 
controalelor IT, care nu prezintă garanții privind funcţionarea corectă. 


Relaţia între controalele generale şi controalele de aplicaţie 


O modalitate de a privi relația dintre controalele generale și cele de aplicaţie este aceea de 
a aloca adecvat controalele generale pentru a proteja aplicaţiile și bazele de date şi pentru 
a asigura resursele necesare funcționării continue. 


Cele mai uzuale controale de aplicaţie 


In cazul unei aplicaţii financiar-contabile sistemul de controale are următoarele nivele: 


+ Examinarea situațiilor financiare pentru a determina dacă reflectă corect 
operațiile efectuate asupra tranzacţiilor: înregistrarea corectă în conturi a unor 
tranzacții de test, reflectarea acestor tranzacții în situaţiile contabile, respectarea 
formatelor cerute de lege pentru situațiile contabile etc. 
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+ Controale ale ieșirilor, care au ca scop verificarea că fişierele temporare generate 
pentru listare (în spooler) înaintea transmiterii către imprimantă sunt sau nu 
sunt alterate, în lipsa unei protecții adecvate, înainte de a fi listate. 


+ Controale ale prelucrărilor, care sunt implementate pentru verificarea prelucrării 
corecte a ratelor de schimb, a comisioanelor, a aplicării unor cote de regie, a 
utilizării unor tarife, etc.. 


+ Controale ale intrărilor, care au ca scop verificarea că documentele contabile se 
referă la perioada contabilă aferentă, că se utilizează corect planul de conturi, că 
aplicația permite efectuarea automată a egalităților contabile, etc. 


«+ Prevenirea accesului neautorizat în sistem 


+ Asigurarea că pe calculatoare este instalată versiunea corectă a programului de 
contabilitate și nu versiuni netestate care pot conţine erori de programare, sau 
versiuni perimate. 


+ Controale privind sistemul de operare, care asigură verificarea că accesul la 
aplicaţia financiar-contabilă este controlat şi autorizat pentru utilizatorii care o 
operează. 


+ Controale ale accesului în rețea, care asigură că utilizatorii neautorizaţi nu pot 
avea acces în sistemele conectate la reţea. 


+  Auditarea sistemului de securitate al sistemelor și al conexiunilor la Internet, care 
verifică existența şi atribuţiile ofițerului de securitate al sistemelor, precum şi 
sistemul de controale specifice, în scopul identificării riscurilor și al adoptării 
unor măsuri de reducere a acestora la un nivel acceptabil. 


+ Selecția și instruirea personalului, care furnizează asigurarea că procedurile de 
selecție şi de instruire a personalului reduc riscul erorilor umane. 


+ Controalele fizice și de mediu, care asigură protejarea fizică a sistemelor de calcul. 


+ Politicile de management și standardele; acestea se referă la toate categoriile de 
controale. 


Cele mai uzuale evaluări ale controalelor de aplicaţie se referă la următoarele aspecte: 


= Existența procedurilor de generare automată de către aplicaţie a situaţiilor de 
ieşire; 

= Existența funcției de export al rapoartelor în format electronic, în cadrul 
sistemului; 

=  Validitatea și consistenţa datelor din baza de date a aplicaţiei; 

= Existența discontinuităţilor şi a duplicatelor; 

= Existența procedurii de păstrare a datelor pe suport tehnic pe o perioadă 
prevăzută de lege; 

= Asigurarea posibilității în orice moment, de a reintegra în sistem datele 
arhivate; 

= Procedura de restaurare folosită; 

= Existența procedurii de reîmprospătare periodică a datelor arhivate; 

= Existența interdicției de modificare, inserare sau ştergere a datelor în condiţii 
precizate (de exemplu, pentru o aplicaţie financiar-contabilă, interdicția se 
poate referi la ștergerea datelor contabile pentru o perioadă închisă); 

= Existența și completitudinea documentației produsului informatic; 
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= Contractul cu furnizorul aplicației din punctul de vedere al clauzelor privind 
întreținerea şi adaptarea produsului informatic; 

= Organizarea gestiunii versiunilor, modificărilor, corecturilor şi schimbărilor de 
sistem informatic, produse program și sistem de calcul; 

=  Reconcilierile făcute în urma migrării datelor, ca urmare a schimbării 
sistemului de calcul sau a modului de prelucrare a datelor; 

=- Alte controale decurgând din specificul aplicaţiei. 


O categorie specială de controale IT se referă la conformitatea sistemului informatic cu 
cerințele impuse de cadrul legislativ și de reglementare. 
Cerinţele legislative și de reglementare variază de la o ţară la alta. Acestea includ: 


+ Reglementări financiare şi bancare; 

+ Legislația privind protecţia datelor private și legislația privind protecţia datelor 
personale; 

+ Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității 
informatice; 

+ Legile cu privire la proprietatea intelectuală. 


Testarea aplicaţiei financiar-contabile 


În ceea ce privește determinarea volumului de teste necesare pentru obținerea asigurării 
privind funcționarea controalelor, auditorul își bazează decizia pe o combinaţie între 
raționamentul profesional şi o modelare statistică pe care o poate opera în acest scop. 
Dacă auditorul își propune să planifice ca testele de control să se efectueze pe un număr 
mare de tranzacții, atunci va aplica metoda eșantionării datelor și va stabili dimensiunea 
eșantionului. 


In ceea ce privește controlul asupra informațiilor de intrare, ieșire sau memorate în baza de 
date, pentru o aplicație financiar-contabilă verificările uzuale privind satisfacerea 
cerințelor legislative sunt: 


«+  Conformitatea conturilor cu Planul de conturi; 

+ Denumirea în limba română a informaţiilor conţinute în documentele de intrare și 
în situaţiile de ieşire; 

+  Interdicţia deschiderii a două conturi cu același număr; 

+  Interdicția modificării numărului de cont în cazul în care au fost înregistrate date în 
acel cont; 

+  Interdicția suprimării unui cont în cursul exerciţiului curent sau aferent 
exerciţiului precedent, dacă acesta conține înregistrări sau sold; 

+ Respectarea formatului prevăzut de lege pentru documentele și situațiile generate 
de aplicaţia contabilă; 

+  Acurateţea balanței sintetice, pornind de la balanţa analitică; generarea balanței 
pentru orice lună calendaristică; 

+ Reflectarea corectă a operaţiunilor în baza de date, în documente și în situaţii de 
ieşire; 

+ Existența şi corectitudinea situaţiilor prevăzute de lege ca fiind obligatorii; 

+ Alte controale decurgând din specificul aplicaţiei. 
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Analiza riscului într-un mediu informatizat 


Mediul informatizat introduce riscuri noi, pe lângă alte categorii de riscuri cu care se 
confruntă organizaţia. În vederea asigurării protecţiei informaţiilor şi sistemelor IT este 
necesară dezvoltarea unui flux continuu de activităţi privind identificarea, analiza, 
evaluarea și gestionarea riscurilor specifice. 


Erorile şi omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea 
riscurilor cauzate de acestea, entitatea trebuie să implementeze controale și proceduri 
care să contribuie la diminuarea /eliminarea efectelor generate de ignorarea unor aspecte 
care determină modul de utilizare a angajaților, calitatea acestora, motivarea în activitatea 
desfășurată, fluctuația personalului, structura conducerii, volumul de muncă. 


În cele mai multe cazuri entitatea nu deţine o soluţie integrată a sistemului informatic, 
acesta fiind constituit din implementări de aplicaţii insularizate, dedicate unor probleme 
strict focalizate (aplicaţia financiar-contabilă, aplicaţii dedicate activității de bază a 
entității, etc.). Acest tip de arhitectură prezintă dezavantaje la nivelul utilizării, precum și 
o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea 
asigurării interoperabilităţii aplicațiilor sau de multiplicarea informațiilor. La aceasta se 
adaugă și faptul că tranzacţiile sunt procesate în cadrul unor aplicaţii informatice distincte 
iar informaţiile introduse în sistem sunt validate într-o manieră eterogenă: proceduri 
automate combinate cu proceduri manuale, pentru a se asigura detectarea şi corectarea 
erorilor de intrare, precum și detectarea inconsistenţei sau a redundanței datelor. Lipsa 
unei soluții integrate se reflectă, de asemenea, în existența unor baze de date diverse, 
unele aparținând unor platforme hardware/software învechite, interfeţe utilizator diferite 
şi uneori neadecvate, facilități de comunicaţie reduse și probleme de securitate cu riscuri 
asociate. 


Gradul ridicat de fragmentare a sistemului informatic implică acțiuni frecvente ale 
utilizatorului în procesul de prelucrare şi atrage efecte negative în ceea ce priveşte 
respectarea fluxului documentelor, ceea ce crește foarte mult riscul de eroare. 


În funcţie de soluţia arhitecturală implementată şi de estimările iniţiale privind 
dimensiunea bazei de date și complexitatea prelucrărilor, un sistem poate "rezista" sau nu 
la creșteri semnificative ale volumului de tranzacţii care pot rezulta din schimbări 
majore în activitatea entității. Estimarea riscului ca, în viitorul apropiat, sistemul 
informatic să nu poată suporta creșterea volumului de tranzacții (scalabilitate redusă) 
implică decizii importante la nivelul managementului, în sensul reproiectării sistemului, 
şi, implicit, privind alocarea unui buget corespunzător. 


Schimbările configuraţiilor de sisteme trebuie să fie autorizate, testate, documentate, 
controlate. 

Într-un mediu informatizat, amploarea riscurilor capătă o altă dimensiune, natura 
riscurilor fiind influenţată de o serie de factori specifici utilizării tehnologiei informației: 


a) Densitatea informaţiei este mult mai mare decât în sistemele clasice, bazate pe 
hârtie. 

b) Absența documentelor de intrare - datele pot fi introduse în sistem fără a avea la 
bază documente justificative - este cazul tranzacţiilor din sistemele on-line. 

c) Lipsa unor “urme” vizibile ale tranzacţiilor - spre deosebire de prelucrarea 
manuală, unde orice tranzacţie poate fi urmărită plecând de la documentul primar, 
apoi în registrele contabile şi conturi, în prelucrarea automată, pe fluxul de 


Pag. 29 din 180 


prelucrare, o tranzacție poate exista numai pe o perioadă limitată, în format 
electronic. 


d) Lipsa unor ieșiri vizibile - anumite tranzacţii sau rezultate, în special când acestea 
reprezintă detalii, se pot regăsi memorate doar în fişierele aplicaţiei (nu și într-o 
formă tipărită). 

e) Transparenţa documentelor privind desfășurarea unor operaţiuni. Dischetele, 
discurile optice şi alte suporturi moderne ce sunt utilizate pentru salvarea 
volumului mare de informaţii provenite din sistem (putând însuma zeci de mii de 
pagini de hârtie), pot fi sustrase mult mai discret, generând astfel fraude sau cel 
puțin afectând confidențţialitatea informațiilor. 


f) Autorizarea tranzacţiilor. Într-un mediu informatizat se poate include și 
capacitatea calculatorului de a iniția și executa automat unele tranzacții, şi, prin 
modul de proiectare a aplicației informatice poate avea încorporate anumite 
autorizări implicite și funcţii de generare automată. 


9) Procesarea uniformă a tranzacţiilor. O aplicaţie informatică procesează în mod 
uniform tranzacţii similare, pe baza acelorași instrucțiuni program. În felul acesta, 
erorile de redactare a documentelor asociate unei procesări manuale sunt în mod 
virtual eliminate. În schimb, erorile de programare pot conduce la procesarea 
incorectă sistematică a tranzacţiilor, ceea ce impune auditorilor să-şi concentreze 
atenția asupra acurateţei și consistenţei ieșirilor. 


h) Accesul neautorizat la date și fișiere se poate efectua cu o mai mare uşurinţă, ceea 
ce implică un mare potențial de fraudă şi eroare. 


i) Remanenţa suporturilor de memorare a datelor, după ce au fost şterse, poate 
constitui o cale sigură ca persoane interesate, neautorizate să intre în posesia unor 
informaţii de valoare. 


j) Agregarea datelor. Noile sisteme de prelucrare automată a datelor, precum sunt 
cele de asistare a deciziei, au condus la valorificarea unor informaţii importante ale 
entității, generând prognoze și strategii într-un anumit domeniu. Astfel, 
informaţiile capătă valenţe suplimentare. 


Evoluţia tehnologiei informaţiei a cunoscut în ultimii ani un ritm accelerat, dar nu același 
lucru se poate spune despre progresele înregistrate în domeniul securității datelor. 
Integrarea puternică a sistemelor apare ca o consecință a îmbunătățirii formelor de 
comunicație și a proliferării rețelelor de calculatoare. Aplicațiile de comerț electronic sunt 
doar un exemplu în acest sens, dar se poate afirma că această evoluţie a deschis și mai 
mult apetitul “specialiștilor” în ceea ce privește frauda informațională. 


Lipsa urmelor eventualelor atacuri criminale constituie un alt element îngrijorător al 
noului mediu de lucru; în acest sens modificarea datelor, adăugarea sau chiar ștergerea lor 
au devenit operații mult mai uşor de realizat, dar, în același timp, destul de greu de 
depistat. 


Obiectivul unei analize a riscurilor informaţionale (riscuri IT) este de a identifica 
modalitățile prin care datele şi, implicit, sistemul informatic care le conţine, sunt expuse la 
risc. Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat 
generează noi riscuri și că orice organizație, în vederea asigurării unei protecții eficiente a 
informaţiilor, este necesar să dezvolte un proces complex de studiu şi analiză a riscurilor. 

Riscul implicat de utilizarea tehnologiei informaţiei se manifestă prin intermediul 
componentelor proprii ale acestei tehnologii: ameninţări, vulnerabilități și impact. 
Amenințările exploatează vulnerabilitățile unui sistem cauzând impactul şi, în esenţă, 
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combinaţia celor trei elemente determină mărimea riscului. Riscul la nivelul unei 
organizații nu poate fi eliminat, el va exista întotdeauna, managementul organizației fiind 
responsabil de reducerea acestuia la un nivel acceptabil. 


1.3.4 Sisteme în curs de dezvoltare 


Sistemele informatice financiar-contabile în curs de dezvoltare ale entității auditate nu 
sunt susceptibile să aibă un impact asupra auditului situaţiilor financiare curente. Însă, un 
sistem financiar greșit conceput sau implementat ar putea conduce la un audit al 
evidenţelor informatizate scump sau imposibil de realizat în anii următori. Această 
secțiune subliniază inportanța implicării auditorilor externi în formularea unor cerințe 
pentru sistemele financiare care urmează să fie achiziționate de la furnizori sau dezvoltate 
în cadrul entității. 


Revine entității auditate, și în particular auditului intern, să stabilească dacă demersul de 
dezvoltare propus de auditor este susceptibil să conducă la un sistem care să satisfacă 
necesitățile activității. Nu este rolul auditorilor să avizeze demersul sau aspectele 
particulare ale acestuia. Trebuie, însă, ca auditorul intern să facă observații asupra 
aspectelor demersului care ar putea duce la dificultăți în emiterea unei opinii asupra 
situaţiilor financiare şi pentru a putea evita dificultățile de audit extern ulterioare. 


Auditul sistemelor financiare în curs de dezvoltare este o zonă cu caracter tehnic, 
complexă și care comportă multe aspecte care necesită o analiză. 


1.3.5 Anomalii frecvente în operarea sistemului 


Cele mai frecvente efecte ale operării necorespunzătoare a sistemului pot avea ca sursă 
disfuncționalități la nivelul infrastructurii IT sau pot fi generate de personalul care 
gestionează sistemul sau de către terți, în cazul serviciilor externalizate. 


= Aplicațiile nu se execută corect datorită operării greşite a aplicaţiilor sau utilizării 
unor versiuni incorecte, precum și datorită unor parametri de configurare incorecți 
introduși de personalul de operare (de exemplu, ceasul sistemului și data setate 
incorect pot genera erori în calculul dobânzilor, al penalităţilor, al salariilor etc.). 


= Pierderea sau alterarea aplicaţiilor financiare sau a fișierelor de date poate rezulta 
dintr-o utilizare greşită sau neautorizată a unor programe utilitare. 


=- Personalul IT nu știe să gestioneze rezolvarea/,escaladarea” problemelor sau 
raportarea erorilor, iar încercarea de a le rezolva pe cont propriu poate provoca 
pierderi și mai mari; 


=  Intârzieri și întreruperi în prelucrare din cauza alocării unor priorităţi greşite în 
programarea sarcinilor; 


=- Lipsa salvărilor și a planificării reacției la incidentele probabile creşte riscul de 
pierdere a capacităţii de a continua prelucrarea în urma unui dezastru; 


= Lipsa capacităţii (resurselor) sistemului, acesta devenind incapabil de a prelucra 
tranzacțiile din cauza supraîncărcării; 


= Timpul mare al căderilor de sistem până la remedierea problemei; 


= Probleme ale utilizatorilor nerezolvate datorită funcţionării defectuoase a facilității de 
asistență tehnică (Helpdesk). 
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1.3.6 Documente și informaţii solicitate entității auditate 


În cadrul misiunii de audit IT, în mod uzual, se solicită următoarele documente şi 
informaţii privind sistemele, proiectele și aplicaţiile existente în cadrul entității 
auditate. 


a) Referitor la managementul tehnologiei informaţiei: 


1. Structura organizațională. Fișe de post pentru persoanele implicate în proiectele 
informatice; 


Strategia IT şi stadiul de implementare a acesteia; 

Politici şi proceduri incluse în sistemul de control intern; 

Legislaţie și reglementări care guvernează domeniul; 

Documente referitoare la coordonarea și monitorizarea proiectelor IT; 
Raportări către management privind proiectele IT; 

Buget alocat pentru proiectele informatice; 


DO SA: Lt N 


Lista furnizorilor şi copiile contractelor pentru hardware și software (furnizare, 
service, mentenanţă, etc.); 


9. Rapoarte de audit privind sistemul IT în ultimii 3 ani; 
10. Raportarea indicatorilor de performanţă. 


b) Referitor la infrastructura hardware/software și de securitate a sistemului 


11. Infrastructura hardware, software și de comunicaţie. Documentaţie de prezentare; 

12. Politica de securitate. Proceduri generale. Proceduri operaţionale IT (back-up, 
managementul capacității, managementul configuraţiilor, managementul 
schimbării proceselor, managementul schimbărilor tehnice, managementul 
problemelor etc.); 

13. Proceduri şi norme specifice, inclusiv cele legate de administrare și securitate, în 


vederea creșterii gradului necesar de confidenţialitate și a siguranţei în utilizare, în 


scopul bunei desfășurări a procedurilor electronice și pentru asigurarea protecției 
datelor cu caracter personal; 


14. Arhitectura de sistem. Categorii de servicii și tehnologii utilizate; 
15. Arhitectura de reţea. Tipuri de conexiuni; 
16. Personalul implicat în proiecte. Număr, structură, calificare; 


17. Manuale, documentaţie de sistem și orice altă documentație referitoare la 
aplicaţiile informatice. 


c) Referitor la continuitatea sistemului 


18. Plan de continuitate a activității care face obiectul proiectelor IT; 
19. Plan de recuperare în caz de dezastru. 


d) Referitor la dezvoltarea sistemului 


20. Lista aplicaţiilor și proiectelor IT (scurtă prezentare a portofoliului de proiecte); 
21. Stadiul actual, grafice de implementare și rapoarte de utilizare; 
22. Perspective de dezvoltare. 
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e) Referitor la sistemul de monitorizare şi raportare 


23. Raportări ale managementului IT referitoare la proiectele informatice; 
24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice. 


Pag. 33 din 180 


Capitolul 2. Proceduri de audit IT 


În această secţiune se prezintă cadrul procedural pentru evaluarea sistemelor informatice, 
în general, cu exemplificări pentru sistemele financiar-contabile. Auditorii trebuie să 
recurgă la raționamentul propriu pentru a stabili care dintre controale ar fi rezonabile, 
având în vedere mărimea, complexitatea și importanţa sistemelor informatice financiar- 
contabile ale entității auditate. În acest proces, selectarea obiectivelor de control 
aplicabile din setul COBIT6 şi utilizarea procedurilor de audit adecvate mediului 
informatizat auditat constituie o activitate deosebit de importantă. 


Pentru entitățile mici, care utilizează calculatoare individuale (neinstalate în rețea), modul 
de evaluare a mediului informatizat este prezentat în Capitolul 4. 


Structurarea cadrului procedural este prezentată în tabelul următor. 


Tabelul 2 
Proceduri de audit IT 
Secţiune Denumirea secţiunii Procedura 
A Informaţii de fond privind sistemele IT ale entității 
auditate 
Privire generală asupra entității auditate Al 
Principalele probleme IT rezultate din activităţile anterioare A2 
de audit 
Dezvoltări informatice planificate A3 
Echipament informatic [hardware] şi programe informatice A4 
[software] 
Cerinţe pentru specialiştii în auditul informatic A5 
Activitatea necesară pentru revizuirea sistemelor A6 
Contacte cheie A7 
B Evaluarea mediului de control IT - Controale IT generale 
Management IT B1 
Separarea atribuțiilor B2 
Securitatea fizică şi controalele de mediu B3 
Securitatea informației şi a sistemelor B4 
Continuitatea sistemelor B5 
Externalizarea serviciilor IT B6 
Managementul schimbării şi al dezvoltării de sistem B7 
Audit intern B8 


* Domeniile, procesele şi obiectivele de control COBIT sunt prezentate în detaliu în 
Manualul de audit al sistemelor informatice (CCR, 2012) 
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CA Evaluarea controalelor de aplicaţie 
Înțelegerea sistemului informatic CA1 
Posibilitatea de efectuare a auditului CA2 
Utilizarea tehnicilor de audit asistat de calculator (CAAT) CA3 
Determinarea răspunderii CA4 
Evaluarea documentaţiei aplicaţiei CA5 
Evaluarea securității aplicaţiei CA6 
Evaluarea controalelor la introducerea datelor CA7 
Evaluarea controalelor transmisiei de date CA8 
Evaluarea controalelor prelucrării CA9 
Evaluarea controalelor datelor de ieşire CA10 
Evaluarea controalelor fişierelor cu date permanente CA11 
Evaluarea conformităţii cu legislația în vigoare CA12 
Efectuarea testelor de audit CA13 
2.1 Informații de fond privind sistemele IT ale entității auditate 


SCOP: Obţinerea informațiilor privind mărimea, tipul și complexitatea sistemelor 
informatice ale entității auditate. Pe baza acestora, auditorul poate clasifica sistemele după 
complexitate și poate aprecia dacă evaluarea IT trebuie realizată de un auditor IT 
specialist. 


Obținerea informațiilor de fond privind sistemele IT ale entității auditate îl ajută pe 
auditor în următoarele activități: 
+ identificarea configurațiilor hardware și a aplicațiile informatice implicate în 
obținerea situațiilor financiare ale entității auditate; 
+ evaluarea gradului de complexitate al sistemului informatic; 
+ evaluarea eficacităţii securităţii informaţiei și sistemului; 
+ identificarea riscurilor generate de mediul IT; 
+ obținerea unei înțelegeri suficiente a sistemelor de controale IT interne pentru a 
planifica auditul şi a dezvolta o abordare de audit eficientă. 


PROCEDURA A1 - Privire generală asupra entității auditate 


Auditorul va obține informaţii privind natura activităţilor entității supuse auditului, pe 
baza unei documentări preliminare sau utilizând informaţii din analizele anterioare 
(rapoarte de audit, cunoştinţe anterioare și fişiere de audit). Pentru colectarea datelor se 
poate folosi Macheta 1. 

De asemenea, se vor analiza următorii indicatori de bază: 


- Plăţi / cheltuieli anuale; 

-  Încasări / venituri anuale; 
- Total active; 

- Valoarea activelor IT; 

- Bugetul anual IT. 
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PROCEDURA A2 - Principalele probleme IT rezultate din activităţile 
anterioare de audit 


Auditorul va obține informații din analizele anterioare, având următoarele surse: rapoarte 
de audit sau referiri la informări către conducere, evaluări ale sistemelor contabile, 
evaluări ale riscurilor şi altele. 


PROCEDURA A3 - Dezvoltări informatice planificate 


Auditorul va lua în considerare identificarea şi analiza aspectelor legate de dezvoltarea 
sistemului informatic și/sau de schimbările tehnologice: determinarea direcției 
tehnologice, examinarea portofoliului de proiecte IT, coordonarea și monitorizarea 
proiectelor IT; normele metodologice şi standardele în domeniu; stadiul de realizare a 
proiectelor. 


Adoptarea unei direcții tehnologice în sprijinul afacerii necesită crearea unui plan al 
infrastructurii tehnologice și alocarea unor responsabilităţi care au ca obiectiv stabilirea și 
administrarea cu claritate şi în mod realist a așteptărilor cu privire la ceea ce poate oferi 
tehnologia informației în materie de produse, servicii, precum și la mecanismele de 
furnizare a acestora. Planul este actualizat periodic și înglobează aspecte cum ar fi: 
arhitectura sistemului, direcţia tehnologică, planuri de achiziție, standarde, strategii de 
migrare și situațiile neprevăzute. 


Auditorul va obține informaţii legate de principalele proiecte de dezvoltare a sistemelor IT 
(când vor intra în exploatare, locul instalării, dacă au fost identificate probleme, ce efecte 
ar putea avea noile sisteme asupra activității de audit prezente și viitoare), precum și de 
monitorizarea tendinţelor viitoare şi a reglementărilor. În situaţia în care apar probleme 
tehnice dificil de înţeles și tratat, auditorul trebuie să aibă în vedere contactarea unui 
auditor IT specialist (utilizat de regulă în faza de specificare a sistemelor sau înainte de 
intrarea în funcție a sistemelor). 


PROCEDURA A4 - Configuraţia hardware (echipamente), software (programe 
informatice) și personalul IT 


In faza de cunoaștere a entității, auditorul va lua în considerare identificarea şi analiza 
factorilor legați de configurația hardware (echipamente), software (programe 
informatice) și personalul IT care pot influența procesul de audit: 

+ componentele sistemului informatic; 

+ arhitectura sistemului informatic: platforma hardware/software (soluții de 
implementare, echipamente, arhitecturi de rețea, licenţe, desfăşurare în teritoriu, 
locaţii funcționale, versiuni operaţionale); fluxuri de colectare/transmitere/ 
stocare a informațiilor (documente text, conținut digital, tehnici multimedia); 

+ arhitectura informațională: raţionalizarea resurselor informaționale în vederea 
convergenței cu strategia economică (dezvoltarea dicționarului de date al 
organizației cu regulile de sintaxă, cu schemele de clasificare a datelor şi cu nivelele 
de securitate). Acest proces îmbunătățește calitatea procesului decizional 
asigurând obţinerea de informaţii de încredere și sigure, crește responsabilitatea 
cu privire la integritatea și securitatea datelor și măreşte eficacitatea și controlul 
asupra informaţiilor partajate între aplicaţii și entități. 

+ factorii care influențează funcţionalitatea sistemului: complexitatea componentelor 
software, sistemul de constituire, achiziţie, validare, utilizare a fondului 


Pag. 36 din 180 


documentar (documente text, conținut digital, tehnici multimedia), operarea 
sistemului, interfața utilizator, schimbul de date între structuri, interoperabilitate, 
anomalii în implementare, modalități de raportare şi operare a corecţiilor, 
siguranţa în funcționare, rata căderilor, puncte critice, instruirea personalului 
utilizator, documentaţie tehnică, ghiduri de operare, forme și programe de 
instruire a personalului, asigurarea suportului tehnic. 


Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 și 4 care vor fi adaptate în 
funcție de complexitatea și specificul sistemului informatic, întrucât în instituțiile publice 
există o mare diversitate de configurații IT, pornind de la entități mici (de exemplu, 
primării) care au în dotare un singur calculator şi ajungând la entități cu sisteme complexe 
şi configurații mari, desfăşurate la nivel naţional. 


Auditorul va colecta informaţii privind: 

= Echipamentul informatic (hardware) şi de comunicații (topologie, cablare, protocol 
de comunicații, modem-uri, gateways, routere); 

= Programe informatice (software): sistemul de operare, software de securitate, 
software de gestionare a bazelor de date, software de audit, generatoarele de 
rapoarte, software de programare și altele; 

= Software de aplicaţie: denumire, prezentare generală, furnizor, versiune, platformă, 
limbaj de programare /dezvoltare, număr de utilizatori, data instalării, pachet la 
cheie sau dezvoltat la comandă, module, prelucrare offline /online; 

= Modelul arhitecturii informaționale a organizației: dicţionarul de date al 
organizației și regulile de sintaxă a datelor, schema de clasificare a datelor; 

= Informații privind personalul implicat în proiectele IT. 


PROCEDURA A5 - Cerinţe pentru specialiștii în auditul sistemului informatic 


Auditorii trebuie să decidă dacă ei înșiși au abilităţi IT și de audit IT necesare și suficiente 
pentru a realiza evaluarea la un standard adecvat de competență. Factorii luaţi în 
considerare în acest sens includ: mărimea departamentului IT care face obiectul auditului, 
utilizarea rețelelor de comunicaţii în cadrul entității auditate, procesarea de date 
distribuite, utilizarea de tehnologii noi, sisteme în curs de dezvoltare, cunoașterea 
problemelor IT anterioare ale entității auditate și dacă este de dorit o abordare a auditului 
bazată pe controale. 


PROCEDURA A6 - Activitatea necesară pentru evaluarea sistemelor 


Auditorul va stabili gradul de complexitate al sistemului, va inventaria care sunt sistemele 
/componentele /serviciile informatice care trebuie să fie evaluate în funcție de obiectivele 
auditului, va decide asupra cerințelor pentru auditul IT şi va estima resursele necesare 
misiunii de audit. De asemenea va stabili criteriile, tehnicile şi metodele de audit, va 
selecta sau va proiecta procedurile de audit adecvate, listele de verificare, machetele, 
chestionarele, scenariile de test. 


PROCEDURA A7 - Contacte cheie 


Conducerea entității va stabili persoanele de contact din cadrul entității auditate, din 
domeniile financiar şi IT (nume, funcţie, locaţie, nr. telefon), care vor colabora cu auditorul 
pe parcursul misiunii de audit. 
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2.2 Evaluarea mediului de control IT - Controale generale IT 


SCOP: Identificarea naturii și impactului riscurilor generate de utilizarea de către entitate 
a tehnologiei informației, asupra situaţiilor financiare ale organizației, precum și a 
capacității auditorilor de a le evalua. O evaluare a controalelor IT la nivelul entității este 
realizată prin derularea unei evaluări a mediului informatizat în care funcționează 
aplicațiile financiare. Punctele slabe ale mediului informatizat pot afecta negativ 
integritatea și viabilitatea tuturor aplicaţiilor informatice și a datelor contabile prelucrate 
de acestea. 


Obiectivul unei evaluări a mediului de control IT este de a examina și de a evalua riscurile, 
şi controalele care există în cadrul mediului IT al unei entități. O evaluare a mediului de 
control IT este focalizată pe controalele care asigură integritatea şi disponibilitatea 
programelor și aplicaţiilor financiare, în timp ce evaluarea unei aplicaţii se concentrează 
pe integritatea şi disponibilitatea tranzacţiilor procesate de respectiva aplicație. 


Termenul de mediu de control IT se referă la configuraţia hardware, la programele 
informatice de sistem, la mediul de lucru. Dimensiunea unei configurații IT poate varia de 
la un sistem mare, amplasat într-o construcție special destinată, deservit de un personal 
numeros, până la un simplu calculator personal (PC) din cadrul unui birou de 
contabilitate. 


Mediul de control IT trebuie să aibă controale adecvate pentru a asigura următoarele: 
e un mediu de procesare sigur și sistematic; 
e protejarea aplicaţiilor, fişierelor și bazelor de date față de acces, modificare sau 
ştergere neautorizate; 
e că pierderea facilităților de calcul nu afectează capacitatea organizaţiei de a 
produce situații financiare care pot fi supuse auditului. 


Auditorul trebuie să determine ce controale ar fi rezonabile în cadrul fiecărei configurații 
de calcul. Când evaluează un mediu de control IT auditorul trebuie să aibă în vedere 
diferiți factori, inclusiv natura activităţii entității, mărimea compartimentului IT, istoricul 
erorilor şi încrederea acordată sistemelor informatice. 


Auditorul poate obține informații privind mediul general IT prin interviuri și discuţii cu 
personalul implicat, prin analize ale documentaţiei sistemului, precum și prin legătura cu 
auditul intern şi observația directă. 


Pentru evaluarea controalelor IT generale se foloseşte Lista de verificare pentru evaluarea 
controalelor generale IT (LV Controale generale IT - Anexa 3), structurată după criterii 
funcționale. Auditorul va elimina din listă întrebările referitoare la controalele care nu 
sunt aplicabile pentru sistemul supus evaluării sau va putea introduce întrebări 
suplimentare, dacă o cere contextul. 


În secţiunile următoare sunt prezentate procedurile reprezentative pentru auditul 
sistemelor informatice. 

În funcţie de complexitatea sistemului, în cadrul unei misiuni de audit, auditorul, pe baza 
raționamentului profesional va decide utilizarea întregului set de proceduri sau le va selecta 
pe cele care sunt aplicabile în cazul concret. De asemenea, va putea adopta evaluarea unui 
set restrâns de obiective de control din cadrul fiecărei proceduri selectate sau, dacă situația 
o cere, poate proiecta proceduri noi. 
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PROCEDURA B1 - Managementul sistemului informatic 


Când este evaluat acest domeniu, se verifică următoarele aspecte: 


+ dacă strategia IT este aliniată la strategia afacerii; 

+ dacă managementul conștientizează importanţa tehnologiei informației; 

+ dacă organizația atinge un nivel optim de utilizare a resurselor disponibile; 

+ dacă obiectivele IT sunt înțelese de către toți membrii organizației; 

+ dacă riscurile IT sunt cunoscute și gestionate; 

+ dacă nivelul de calitate al sistemelor IT răspunde în mod corespunzător nevoilor 
afacerii. 


Prin testarea controalelor implementate în cadrul entității se poate aprecia dacă utilizarea 
tehnologiilor informaţiei de către entitatea auditată se desfăşoară în cadrul unei structuri 
bine definite, dacă este efectuată o informare operativă a conducerii legată de activitatea 
IT şi conducerea este receptivă la schimbare, dacă funcționarea sistemului informatic este 
eficientă din punct de vedere al costurilor şi al gestionării resurselor umane, dacă riscurile 
sunt monitorizate, dacă monitorizarea cadrului legislativ şi a contractelor cu principalii 
furnizori se desfăşoară corespunzător. 


B.1.1 Aspectele care se iau în considerare atunci când se examinează controalele 
privind managementul şi organizarea departamentului IT al entității 
(responsabilitatea de ansamblu, structura formală, organizarea și desfășurarea activității 
IT, implicarea conducerii entității auditate în coordonarea activităţilor legate de 
funcționarea sistemului informatic). 


Evaluarea se va face pe baza constatărilor și concluziilor rezultate în urma interviurilor cu 
conducerea entității și cu persoanele implicate în coordonarea operativă a sistemului 
informatic, precum și pe baza analizei documentelor privind: strategiile, politicile, 
procedurile, declaraţiile de intenţie, cadrul de referință pentru managementul riscurilor, 
întâlnirile organizate de conducerea entității (minute, procese verbale, adrese etc.). 


Tabelul 3 
Secțiunea Management IT - B.1.1 
Directii de Taa Documente de | Surse probe 
E ja ca Obiective de control lucru de audit 
MANAGEMENT IT 
Implicarea Implicarea conducerii în elaborarea şi LV. Controale Strategii 
conducerii la cel | implementarea unei politici oficiale, generale IT Politici 
mai înalt nivel în consistente privind serviciile l Registrul 
coordonarea informatice şi în comunicarea acesteia řiscuriloř 
activităților utilizatorilor | 
Analize 
Stabilirea unei direcții unitare de Informări 
dezvoltare, cu precizarea clară a ; 
a Ai Minute / 
obiectivelor, elaborarea unor linii cata 
directoare p 
verbale ale 
Elaborarea strategiilor şi politicilor şedinţelor 
bazată pe o evaluare a riscurilor (riscuri 
în etapa de implementare, riscuri în 
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Direcţii de 
evaluare 


Obiective de control 


Documente de 
lucru 


Surse probe 
de audit 


etapa de furnizare a serviciilor 
informatice) 


Identificarea, planificarea și gestionarea 
riscurilor implicate de implementarea 
şi utilizarea sistemului IT 


Analiza beneficiilor potenţiale 


Implicarea conducerii instituţiei în 
coordonarea activităților IT - întâlniri 
regulate între conducerea instituției și 
persoanele cu atribuţii în 
implementarea, administrarea și 
întreținerea sistemului 


Analiza activităţilor față de strategia de 
implementare 


Definirea 
proceselor IT, a 
funcţiei și a 
relaţiilor 


Definirea unei structuri funcționale IT, 
luând în considerare cerințele cu 
privire la personal, abilități, funcții, 
responsabilități, autoritate, roluri și 
supraveghere 


Structura funcțională este inclusă într- 
un cadru de referință al procesului IT 
care asigură transparenţa şi controlul, 
precum şi implicarea atât de la nivel 
executiv cât şi general 


Existenţa proceselor, politicilor 
administrative și procedurilor, pentru 
toate funcţiile, acordându-se atenție 
deosebită controlului, asigurării 
calității, managementului riscului, 
securității informaţiilor, identificării 
responsabililor datelor şi sistemelor și 
separării funcţiilor incompatibile 


Implicarea funcției IT în procesele 
decizionale relevante pentru asigurarea 
suportului şi susținerii cerinţelor 
economice 


Stabilirea rolurilor şi responsabilităților 


Identificarea personalului IT critic, 
implementarea politicilor şi 
procedurilor pentru personalul 
contractual 


LV. Controale 
generale IT 


Strategii 
Politici 
administrative 
Proceduri 


Organigrama 


Fişe de post 
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Direcţii de 


Documente de 


Surse probe 


aie Obiective de control lucru de audit 

Comunicarea Dezvoltarea de către conducerea unui | LV. Controale Politica IT 
intenţiilor şi cadru de referință al controlului IT la generale IT Declaratii d 
obiectivelor nivelul întregii organizații, definirea și dia arații € 
conducerii comunicarea politicilor intenție 

Sprijinirea realizării obiectivelor IT şi 

asigurarea gradului de conştientizare și 

de înțelegere a riscurilor afacerii și a 

riscurilor ce decurg din IT, a 

obiectivelor şi intenţiilor conducerii, 

prin intermediul comunicării. 

Asigurarea conformităţii cu legile și 

reglementările relevante 
Organizarea Stabilirea atribuţiilor privind LV. Controale Organigrama 
sistemului de monitorizarea consecventă a stadiului generale IT Fişe de post 


monitorizare a 
activităţilor şi 
serviciilor IT 


proiectelor IT (desemnarea unui 
responsabil cu urmărirea implementării 
şi utilizării IT, evaluarea periodică a 
performanţei utilizatorilor sistemului, 


Rapoarte de 
evaluare 


Rapoarte de 


instruirea periodică a personalului instruire 
implicat în proiectele IT pentru a 
acoperi cerințele proceselor noului 
model de activitate) 
Existenţa fişelor de post semnate 
pentru personalul implicat în proiectele 
IT 
Estimarea şi Este creat şi întreţinut un cadru de LV. Controale Cadrul de 
managementul referință pentru managementul generale IT referință 
riscurilor IT riscurilor care documentează un nivel pentru 
comun și convenit al riscurilor IT, managementul 
precum și strategiile de reducere a riscurilor 
riscurilor şi de tratare a riscurilor Strategiile de 
reziduale : 
reducere și de 
Strategiile de reducere a riscurilor sunt tratare a 
adoptate pentru a minimiza riscurile riscurilor 
reziduale la un nivel acceptat. Plan de 
Este întreținut şi monitorizat un plan de acțiune pentru 
acțiune pentru reducerea riscului reducerea 
riscului 


Monitorizare şi 
evaluare 


Este măsurată performanţa sistemului 
IT pentru a detecta la timp problemele 
managementul asigură eficiența și 
eficacitatea controlului intern. 


LV. Controale 
generale IT 


Rapoarte de 
evaluare 
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Direcţii de Documente de | Surse probe 


evaluare Obiective de control lucru e udat 


Se efectuează evaluarea periodică a 
proceselor IT, din perspectiva calităţii 
lor şi a conformităţii cu cerințele 
controlului. 


Serviciile IT sunt asigurate 
corespunzător: sunt furnizate în 
conformitate cu prioritățile afacerii, 
costurile IT sunt optimizate, personalul 
poate folosi sistemele IT în mod 
productiv și în siguranţă iar 
confidențialitatea, disponibilitatea şi 
integritatea sunt adecvate. 


Auditorul va evalua soluția organizatorică prin prisma criteriilor menționate și va colecta 
probe privind: subordonarea departamentului IT, nivelele de monitorizare a proiectului, 
existența unei politici de angajări, instruirea profesională și evaluarea periodică a 
performanţei personalului tehnic implicat proiect și a utilizatorilor sistemului, analiza 
dependenţei de persoanele cheie. Pentru personalul implicat în activităţi legate de sistemul 
informatic, va verifica existenţa fișelor de post semnate și dacă acestea conțin atribuțiile 
specifice utilizării tehnologiilor informaţiei. De asemenea pe baza analizei documentelor va 
evalua: strategiile, politicile, procedurile, declarații de intenţie, cadrul de referință pentru 
managementul riscurilor, întâlnirile organizate de conducerea entității (minute, procese 
verbale, adrese etc.). 


B.1.2 Aspectele care se iau în considerare atunci când se examinează controalele 
referitoare la planificarea activităților privind utilizarea tehnologiilor informației 


Planificarea strategică a tehnologiilor informaţionale este necesară pentru a administra și 
a direcționa toate resursele IT în concordanţă cu strategia şi priorităţile organizației. 
Funcţia IT și beneficiarii acesteia sunt responsabili pentru asigurarea realizării valorii 
optime a proiectului şi a portofoliului de servicii. Planul strategic urmărește să 
îmbunătățească gradul şi capacitatea de înțelegere din partea beneficiarilor în ceea ce 
priveşte oportunităţile şi limitările, stabilește nivelul de performanță curentă, identifică 
cerințele privind capacitatea și necesarul de resurse umane și clarifică nivelul necesar de 
investiții. Strategia organizaţiei și priorităţile trebuie să fie reflectate în portofolii şi să fie 
executate prin intermediul planurilor tactice, planuri ce specifică obiective concrete, 
planuri de acțiune și sarcini. Toate acestea trebuie să fie înțelese și acceptate de 
organizație și de compartimentul IT. 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea 
entității și cu persoanele implicate în coordonarea operativă a sistemului informatic, precum 
și pe baza analizei documentelor privind planificare activităților: planul strategic, planuri 
tactice, rapoarte de evaluare. 
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Secțiunea Management IT - B.1.2 


Tabelul 4 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
Planificarea 


activităţilor IT 


Existenţa unui plan corespunzător şi 
documentat pentru coordonarea 
activităţilor legate de implementarea 
şi funcționarea sistemului informatic, 
corelat cu strategia instituţiei 


LV. Controale 
generale IT 


Plan strategic 
Planuri tactice 


Rapoarte de 
evaluare 


Documentarea în planificarea entității 
a rezultatelor scontate/ țintelor şi 
etapelor de dezvoltare şi 
implementare a proiectelor 


Întocmirea şi aprobarea de către 
conducere a unui plan strategic 
adecvat prin care obiectivele cuprinse 
în politică să aibă asociate acțiuni, 
termene și resurse 


Este realizat managementul valorii IT 


Se evaluează capabilitățile și 
performanţele curente 


B.1.3 Aspectele care se iau în considerare atunci când se examinează controalele 
privind managementul costurilor (managementul investiţiilor IT, identificarea și alocarea 
costurilor) 


Auditorul va verifica dacă este stabilit şi întreținut un cadru de referință pentru 
managementul programelor de investiţii IT, care înglobează costuri, beneficii, prioritățile 
în cadrul bugetului, un proces formal de bugetare oficial și de administrare conform 
bugetului. 


Construirea și utilizarea unui sistem care să identifice, să aloce și să raporteze costurile IT 
către utilizatorii de servicii, implementarea unui sistem just de alocare permite 
managementului să ia decizii mai bine întemeiate cu privire la utilizarea serviciilor IT, pe 
baza unei măsurări cât mai exacte. 


Tabelul 5 
Secțiunea Management IT - B.1.3 
Documente Surse probe 

Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
Managem entul Existența unui cadru de referință LV_ Controale | Cadrul de 
investițiilor ? f sd E 

i pentru managementul financiar generale IT referință 

pentru 
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investiţii şi cheltuieli legate de IT. 
Stabilirea responsabilităţilor privind 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
Stabilirea priorităţilor în cadrul management 
bugetului IT financiar 
Finanțarea IT Documentaţii 
şi situaţii 
privind 
finanțarea IT, 
managementul 
costurilor şi al 
beneficiilor 
Manage menti Definirea serviciilor IT și elaborarea LV. Controale | Documente 
costurilor și al f P E 
Ag unei strategii de finanţare pentru generale IT care reflectă 
beneficiilor i Sie . 
proiectele aferente serviciilor IT strategia de 
Nivelele de finanțare sunt consistente finanţare 
a pentru 
cu obiectivele : 
proiectele 
Existenţa unui buget separat pentru aferente 


serviciilor IT 


> ; i Ši Bugetul 
întocmirea, aprobarea şi urmărirea 
; pentru 
bugetului : ERIE 
investiții şi 
Implementarea sistemelor pentru cheltuieli 
monitorizarea și calculul cheltuielilor legate de IT 
(Contabilitatea IT) A i 
Situaţii 
Managementul beneficiilor privind 
managementul 
Efectuarea analizei activităților față de costurilor şi al 
Strategia IT a entității beneficiilor 
Evidenţe 
contabile 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele 
implicate în coordonarea operativă a sistemului informatic, cu persoane din compartimentul 
financiar-contabil și pe baza analizei documentelor privind modul de alocare și gestionare a 
bugetului aferent proiectelor IT, în concordanță cu obiectivele și strategia entității, precum 
și pe baza analizei documentelor privind managementul investiţiilor și managementul 
costurilor. 


Urmărirea gestionării bugetului alocat proiectului se reflectă în evidențele operative ale 
entității (procese verbale privind îndeplinirea sarcinilor furnizorilor, documente 
conținând rezultatele unor inspecții, documente privind analize şi raportări periodice ale 
activităților și stadiului proiectului, în raport cu strategia de implementare). 
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B.1.4 Aspectele care se iau în considerare atunci când se examinează controalele 
privind managementul programelor și al proiectelor, precum și raportarea către 
conducerea instituţiei (cu scopul de a evalua problematica și de a întreprinde măsuri 
corective pentru remedierea unor deficienţe sau de a efectua evaluări ale efectelor utilizării 
sistemului în raport cu obiectivele activității entității) 


În vederea realizării strategiei IT, soluţiile IT trebuie identificate, dezvoltate sau 
achiziționate, dar şi implementate şi integrate în procesele afacerii. În plus, pentru a se 
asigura continuitatea în atingerea obiectivelor economice pe baza soluțiilor IT, sunt 
acoperite, prin acest domeniu, schimbările și mentenanţa sistemelor deja existente. 


Această abodare reduce riscul apariţiei unor costuri neașteptate și anularea proiectelor, 
îmbunătățește comunicarea şi colaborarea dintre organizaţie şi utilizatorii finali, asigură 
valoarea și calitatea livrabilelor proiectului, şi maximizează contribuţia lor în programele 


de investiţii IT. 


Secţiunea Management IT - B.1.4 


Tabelul 6 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
ia ia i Pentru toate proiectele IT este stabilit | LV. Controale | Documentaţia 
inte s un program şi un cadru de referință generale IT proiectelor 
a a TE pentru managementul proiectelor 
Pi fe aa care garantează o ierarhizare corectă Grafice de 
Mb taţi şi o bună coordonare a proiectelor realizare 
instituţiei 


Cadrul de referință include un plan 
general, alocarea resurselor, definirea 
livrabilelor, aprobarea utilizatorilor, 
livrarea conform fazelor proiectului, 


Rapoarte de 
stadiu 


Situaţii de 


asigurarea calităţii, un plan formal de raportare 

testare, revizia testării și revizia post- către 

implementării cu scopul de a asigura conducere 

managementul riscurilor proiectului 

şi furnizarea de valoare pentru Registrul 
riscurilor 


organizație 


Managementul portofoliilor de 


proiectelor IT 


Planul calităţii 


proiecte proiectelor 
Managementul proiectelor este 
cuprinzător, riguros şi sistematic Controlul 

ac PESA A schimbărilor 
leo uda odaie şi m cadrul 
progresului proiectelor în raport cu proiectelor 


planurile elaborate în acest domeniu 


Nominalizarea unui colectiv şi a unui 
responsabil care supraveghează 
desfăşurarea activităților în 
concordanţă cu liniile directoare 


Situaţii de 
raportare a 
indicatorilor 
de 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
Informarea personalului în legătură performanţă 


cu politicile, reglementările, 
standardele şi procedurile legate de IT 


Raportarea regulată către conducerea 
instituţiei a activităților legate de 
implementarea IT 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele 
implicate în managementul proiectelor și pe baza analizei documentelor privind modul de 
monitorizare și de gestionare a acestora. Auditorul va constata modul în care se face 
raportarea către management, prin colectarea unor probe care decurg din analiza 
documentelor de raportare care oferă informaţii privind conținutul și periodicitatea 
raportărilor, privind organizarea unor întâlniri între actorii implicați în proiect pentru 
semnalarea problemelor apărute și alegerea căilor de rezolvare a problemelor semnalate. 
De asemenea, este evaluat modul în care sunt analizaţi și aduși la cunoștința conducerii 
entității, în mod oficial, indicatorii de performanţă ai sistemului informatic. 


B.1.5 Aspectele care se iau în considerare atunci când se examinează controalele 
privind calitatea serviciilor furnizate utilizatorilor (care se reflectă în succesul 
proiectului, un obiectiv important al conducerii, având efecte inclusiv în planul încrederii 
personalului în noile tehnologii) 


Dezvoltarea şi întreținerea unui Sistem de Management al Calităţii (SMC), incluzând 
procese şi standarde validate de dezvoltare și achiziţie a sistemelor informatice asigură că 
funcţia IT oferă valoare afacerii, îmbunătăţire continuă și transparenţă pentru beneficiari. 
Nivelul calității serviciilor furnizate utilizatorilor interni se menţionează într-un 
document care prevede clauzele referitoare la acestea - SLA (Service Level Agreement). 


Tabelul 7 
Secțiunea Management IT - B.1.5 


incluzând procese şi standarde 
validate de dezvoltare şi achiziție a 
sistemelor informatice 


Furnizarea de cerințe clare de calitate 
formulate şi transpuse în indicatori 
cuantificabili şi realizabili, proceduri 
şi politici 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
Managementul Este dezvoltat şi întreţinut un Sistem | LV. Controale | Manualul SMC 
calităţii de Management al Calităţii (SMC), generale IT Standarde şi 


practici de 
calitate IT 


Standarde de 
dezvoltare şi 
achiziție 
Evaluări ale 
satisfaciei 
clientului 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
Îmbunătăţirea continuă se realizează Reclamaţii 
prin monitorizare permanentă, Lo 
analiză și măsurarea abaterilor și Măsuri de 
comunicarea rezultatelor către îmbunătăţire 
beneficiari continuă 
Documente 
privind 
măsurarea, 
monitorizarea 
şi revizuirea 
calității 
Calitatea serviciilor | Existenţa clauzelor cu privire la LV Controale SLA (Service 
furnizate calitatea serviciilor furnizate z Level 
pa Es : generale IT 
utilizatorilor utilizatorilor Agreement) 


Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu 
persoanele implicate în managementul proiectelor și pe baza analizei documentelor privind 
clauzele referitoare la asigurarea calității pentru întreg ciclul de viață al proiectului 
(specificarea cerințelor, dezvoltarea sistemului, implementarea sistemului, elaborarea și 
predarea documentaţiei, instruirea personalului la toate nivelurile, întretinerea sistemului, 
asigurarea suportului tehnic etc.), care trebuie să facă parte din contractele cu furnizorii. 


B.1.6 Aspectele care se iau în considerare atunci când se examinează controalele 
privind managementul resurselor umane IT 


Pentru crearea și livrarea serviciilor IT în cadrul organizației (afacerii) se constituie și se 
mențin resurse umane cu competenţă ridicată. Acest lucru este realizat prin respectarea 
unor practici definite şi agreate care sprijină recrutarea, instruirea, evaluarea 
performaţelor, promovarea și rezilierea contractului de muncă. Acest proces este critic, 
deoarece oamenii reprezintă active importante, iar guvernarea și mediul controlului 
intern sunt puternic dependente de motivaţia şi competența personalului. 


Educarea eficientă a tuturor utilizatorilor, incluzând pe cei din departamentul IT, necesită 
identificarea nevoilor de învăţare a fiecărui grup de utilizatori. În afara definirii nevoilor, 
procesul ar trebui să includă definirea și implementarea unei strategii de creare a unor 
programe de învăţare eficiente cu rezultate cuantificabile. Un program de instruire 
eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de 
utilizatori, crescând productivitatea și conformitatea cu controalele cheie, cum ar fi 
măsurile de securitate. 


Instruirea utilizatorilor ca urmare a implementării noilor sisteme impune elaborarea de 
documentații și manuale pentru utilizatori şi pentru personalul IT și necesită pregătire 
profesională pentru a asigura utilizarea corectă și funcționarea aplicaţiilor şi a 
infrastructurii. 
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Secţiunea Management IT - B.1.6 


Tabelul 8 


Documente | Surseprobe 
Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
Managementul Existenţa unor practici definite şi Politici şi 


resurselor umane IT 


agreate care sprijină menținerea 
resurselor umane cu competență 
ridicată 


Existenţa politicilor şi procedurilor 
referitoare la recrutarea și retenția 
personalului 


Stabilirea competențele personalului, 
acoperirea rolurilor din punctul de 
vedere al personalului, dependenţa 
de persoanele critice 


Evaluarea performanţelor angajaților 


Implementarea procedurilor 
referitoare la schimbarea locului de 
muncă şi rezilierea contractului de 
muncă 


LV. Controale 
generale IT 


proceduri 
referitoare la 
recrutarea și 
retenţia 
personalului 


Fişe de 
evaluare a 
performanţel 
or angajaților 


Proceduri 
privind 
acoperirea 
rolurilor din 
punctul de 
vedere al 
personalului 
şi dependența 
de persoanele 
critice 


Proceduri 
referitoare la 
schimbarea 
locului de 
muncă şi 
rezilierea 
contractului 
de muncă 


Educarea şi 
instruirea 
utilizatorilor şi a 
personalului IT 


Identificarea nevoilor de învăţare a 
fiecărui grup de utilizatori 


Definirea și implementarea unei 
strategii de creare a unor programe 
de învățare eficiente cu rezultate 
cuantificabile: reducerea erorilor 
cauzate de utilizatori, creşterea 
productivității şi conformităţii cu 
controalele cheie, cum ar fi măsurile 
de securitate 


Realizarea sesiunilor de instruire şi 
educare 


LV. Controale 
generale IT 


Politici 
privind 
instruirea 
utilizatorilor 


Programe de 
instruire 


Rapoarte de 
evaluare 
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Documente | Surseprobe 
Direcţii de evaluare Obiective de control de lucru de audit 


Evaluarea instruirii 


Autorizarea Sunt disponibile cunostințe despre Documentatii 
operării şi utilizării | noile sisteme. şi manuale 
pentru 
Transferul cunoştinţelor către utilizatori şi 
managementul afacerii pentru 


Transferul cunoştinţelor către personak ii 


utilizatorii finali 


Situaţii 
Transferul cunoştinţelor către al a 
personalul care operează şi cel care a ia ci 
oferă suport peores omala 

privind noile 

sisteme 


Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea 
operativă a sistemului informatic, precum şi pe baza analizei documentelor privind 
managementul resurselor umane, educarea și instruirea personalului IT și a utilizatorilor. 


B.1.7 Aspectele care se iau în considerare atunci când se examinează controalele 
privind respectarea reglementărilor în domeniu și a cerinţelor proiectului 


Stabilirea responsabilității pentru asigurarea că sistemul implementat este actualizat în 
conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate conform 
clauzelor contractuale, că au fost furnizate licențele în cadrul contractelor, că 
documentaţia a fost furnizată conform contractului sunt deosebit de importante pentru 
asigurarea continuității sistemului şi pentru creşterea încrederii în informaţiile furnizate 
de sistemul informatic. 

Tabelul 9 

Secţiunea Management IT - B.1.7 


Documente Surse probe 


Direcţii de evaluare Obiective de control de lucru de audit 
MANAGEMENT IT 
Respectarea Stabilirea responsabilității asigurării LV. Controale | Contractele cu 
reglementărilor în că sistemul implementat este generale IT furnizorii 
domeniu și a actualizat în conformitate cu ultima | 
cerinţelor versiune furnizată, că pachetele Existenţa — 
proiectului software au fost furnizate conform responsabilului 
clauzelor contractuale, că au fost ; 
Í | A Grafice de 
furnizate licențele în cadrul ) 
d . implementare 
contractelor, că documentația a fost 
furnizată conform contractului Documentatia 
tehnică 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
Licenţe 
software 
Suport tehnic 


Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu 
persoanele implicate în managementul proiectelor și pe baza analizei documentelor care se 
referă la existenţa unor politici sau proceduri formale prin care se atribuie responsabilitatea 
monitorizării mediului legislativ care poate avea impact asupra sistemelor informatice, 
precum și a asigurării conformităţii cu clauzele contractuale privind: 


e  Responsabilitatea asigurării că sistemul implementat este actualizat în conformitate 
cu ultima versiune furnizată; 


e Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, 
software, documentaţie; 


e Livrarea și instalarea configurațiilor hardware/software pe baza unui grafic, 
conform clauzelor contractuale, pe etape și la termenele stabilite; 


e Respectarea obligațiilor privind instruirea și suportul tehnic, stabilite prin contract; 


e Furnizarea pachetelor software conform clauzelor contractuale. Verificarea 
existenței și valabilităţii licenţelor furnizate în cadrul contractului; 


e Asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal care poate 
avea secțiuni distincte pentru suport tehnic, specializat pe categorii relevante de 
probleme / anomalii sau pentru instruirea continuă a utilizatorilor); 


e Existenţa unor proceduri scrise privind analiza și acceptarea produselor și serviciilor 
furnizate în cadrul contractului, precum și recepţia cantitativă și calitativă; 


e Furnizarea documentaţiei tehnice conform contractului: conținutul (lista, numărul 
manualelor, limba) și formatul (tipărit, în format electronic, on-line); 


e Existenţa specificaţiilor funcţionale, a manualelor de utilizare și administrare pentru 
proiectele de dezvoltare software; 


e Existența manualelor de utilizare pentru echipamentele livrate. 
PROCEDURA B2 - Separarea atribuţiilor 


Separarea atribuţiilor este o modalitate de a asigura că tranzacțiile sunt autorizate și 
înregistrate şi că patrimoniul este protejat. Separarea atribuţiilor are loc atunci când o 
persoană efectuează o verificare privind activitatea altei persoane. Se previne în acest fel 
desfășurarea unei activități, de către aceeași persoană, de la început până la sfârşit, fără 
implicarea altei persoane. Separarea atribuţiilor reduce riscul de fraudă şi constituie o 
formă de verificare a erorilor şi de control al calităţii. 


Separaţia atribuţiilor include: 
+ separarea responsabilităţii privind controlul patrimoniului de responsabilitatea 
de a menţine înregistrările contabile pentru acesta; 
+ separarea funcţiilor în mediul informatizat. 


Separarea atribuţiilor se aplică atât mediului controalelor generale, cât şi programelor și 
aplicaţiilor specifice. 
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În mediul controalelor generale, anumite funcţii şi roluri trebuie să fie separate. De 
exemplu, un programator nu trebuie să aibă acces la mediul de producţie pentru a-și 
îndeplini sarcinile. Personalul care face programare nu trebuie să aibă autoritatea de a 
transfera software nou între mediile de dezvoltare, testare și producţie. Segregarea 
atribuţiilor între programatori şi personalul de operare reduce riscul ca aceștia, cu 
cunoştinţele de programare pe care le dețin, să poată efectua modificări neautorizate în 
programe. În multe cazuri activitatea departamentului IT se împarte în două tipuri 
distincte: programare (sisteme și aplicaţii) și operarea calculatoarelor. Personalul nu 
poate avea atribuții care să se plaseze în ambele tipuri de activități. Personalul care face 
programare nu trebuie să aibă acces la fişiere şi programe din mediul de producţie. 

Sub presiunea reducerii costurilor funcţiilor IT numărul de personal este de multe ori 
redus, ceea ce limitează separarea atribuțiilor. În cazul limitării separării atribuțiilor, 
auditorul trebuie să identifice controale compensatorii, care de obicei se plasează în sfera 
securității sistemelor sau în cea a reconcilierii utilizatorilor finali, pe care să le recomande 
entității (de ex. verificări și inspecții regulate ale conducerii, utilizarea parcursurilor de 
audit și a controalelor manuale). 


Tabelul 10 
Secţiunea Separarea atribuţiilor - B2 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


SEPARAREA ATRIBUŢIILOR 


Ca Mu DIBAnIZatOTIC Existenţa unei structuri LV. Controale Dee post 
şi de implementare . e 
cu organizatorice formale / cunoaşterea | generale IT Sevararea 
privind separarea J . p 
Ai de către personal a modului de sarcinilor 
atribuțiilor i eai 
5 subordonare şi a limitelor de realizată prin 
responsabilitate proprii şi ale intermediul 
celorlalți. Aceasta va face mai dificil să sistemului 
se efectueze acțiuni neautorizate fără informatic 


a fi detectate 
Decizii ale 


Includerea cu claritate a atribuțiilor conducerii 
personalului în fişa postului, în scopul 
reducerii riscului efectuării de către Regulamente, 
acesta a unor acţiuni dincolo de norme, 
limitele autorizate instrucțiuni, 
Separarea sarcinilor realizată prin Prevederi 
intermediul sistemului informatic, contractuale 
prin utilizarea de profile de securitate referitoare la 
individuale și de grup, preprogramate externalizarea 
serviciilor 


Interdicția ca personalul care are 
sarcini în departamentul IT, să aibă 
sarcini și în departamentul financiar- 
contabil sau personal 


Existenţa unei separări fizice și 
manageriale a atribuţiilor, pentru a 
reduce riscul de fraudă. 
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Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


Separarea funcţiilor IT de utilizatori 
pentru a reduce riscul de efectuare de 
către utilizatori a unor modificări 
neautorizate ale softului sau ale 
datelor financiar-contabile, având în 
vedere că persoanele cu sarcini atât 
în domeniul financiar-contabil, cât şi 
în domeniul IT au oportunități mai 
mari de a efectua activități 
neautorizate prin intermediul 
aplicaţiilor informatice, fără a fi 
depistaţi 


Existenţa unui cadru formal de 

separare a sarcinilor în cadrul 

departamentului IT, pentru 

următoarele categorii de activități: 

+ Proiectarea și programarea 
sistemelor 

+  Întreţinerea sistemelor 

e Operatii IT de rutină 

+ Introducerea datelor 

e Securitatea sistemelor 

e Administrarea bazelor de date 

« Managementul schimbării și al 
dezvoltării sistemului informatic 


Separarea sarcinilor de administrator 
de sistem de cele de control al 
securității sistemului 


Asigurarea unei separări adecvate a 
sarcinilor pentru a reduce riscurile ca 
personalul cu cunoștințe 
semnificative despre sistem să 
efectueze acțiuni neautorizate și să 
înlăture urmele acţiunilor lor 


Existenţa unei separări eficiente a 
sarcinilor între dezvoltatorii de 
sisteme, personalul de operare a 
calculatoarelor și utilizatorii finali 


Interdicția ca programatorii să aibă 
acces la mediul de producţie 
(introducere de date, fișiere 
permanente date de ieşire, programe, 
etc.) pentru a-și îndeplini sarcinile 


Interdicția ca personalul care face 
programare să aibă permisiunea de a 
transfera software nou între mediile 
de dezvoltare, testare și producție 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


Interdicția ca personalul cu cunoştinţe 
de programare să aibă atribuţii de 
operare care să permită efectuarea 
modificări neautorizate în programe 


Separarea responsabilității privind 
operarea aplicaţiei de control al 
patrimoniului, de responsabilitatea de 
a menţine înregistrările contabile 
pentru acesta 


Utilizarea separării sarcinilor ca 
formă de revizie, detectare a erorilor 
şi control al calității 


Conștientizarea personalului 


Auditorul trebuie să determine prin interviu, prin observare directă și prin analiza 
documentelor relevante (organigramă, fișa postului, decizii ale conducerii, contracte etc.) 
dacă personalul IT are responsabilităţi în departamentele utilizatorilor, dacă funcţiile IT 
sunt separate de funcţiile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se 
opera schimbări neautorizate, de obicei dificil de detectat, dacă alte funcţii incompatibile, 
potrivit aspectelor menționate mai sus, sunt separate. 


PROCEDURA B3 - Securitatea fizică şi controalele de mediu 


Obiectivul controalelor fizice și de mediu este de a preveni accesul neautorizat și 
interferența cu serviciile IT în scopul diminuării riscului deteriorării accidentale sau 
deliberate sau a furtului echipamentelor IT și al informaţiilor. Aceste controale trebuie să 
asigure, pe de o parte, protecția împotriva accesului personalului neautorizat, iar pe de 
altă parte, protecția în ceea ce privește deteriorarea mediului în care funcționează 
sistemul (cauzată de foc, apă, cutremur, praf, căderi sau creșteri bruște ale curentului 
electric). 


B.3.1 Aspectele care se iau în considerare atunci când se examinează controalele 
privind controlul accesului fizic 


Restricționarea accesului la sistemul de calcul se poate realiza pe baza a două tipuri de 
controale, privitoare la accesul fizic şi, respectiv, la accesul logic. 


Controale fizice: 

+ Asigurarea securității zonei (delimitarea clară a perimetrului afectat facilităților IT 
şi informarea personalului în legătură cu "granițele" acestuia); 

+ Accesul în aria securizată trebuie controlat pe nivele de control, prin controale 
fizice explicite: chei, card-uri de acces, trăsături biometrice (amprentă, semnătură, 
voce, imagine, etc.), coduri de acces sau implicite: atribuţii specificate în fişa 
postului, care necesită prezenţa în zona de operare IT. 
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Controalele administrative: 

+ Uniforma personalului sau utilizarea ecusoanelor; 

+ Ştergerea drepturilor de acces la plecarea persoanei din organizaţie şi informarea 
personalului care asigură paza în legătură cu acest lucru. Pentru această situație 
trebuie să existe proceduri de identificare a celor care pleacă și de asigurare că 
accesul fizic al acestora în zona de operare IT nu mai este permis; 


+ Identificarea vizitatorilor și primirea acestora; 


+ Proceduri pentru evenimente neaşteptate: plecarea temporară din birou a unor 
salariați pentru a lua masa, sau la o solicitare expresă. Măsurile pentru aceste 
situații pot include: încuierea laptop-urilor în sertare sau dulapuri, blocarea 
tastaturii, încuierea suporților tehnici care conțin date. 


Tabelul 11 


Secțiunea Controale privind securitatea fizică și controalele de mediu - B.3.1 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
CONTROALE PRIVIND SECURITATEA FIZICĂ ȘI CONTROALELE DE MEDIU 
Controlul accesului Alocarea unor spații adecvate pentru LV Controale | Regulamente, 
fizic camera serverelor generale IT norme, 
instrucțiuni 
Implementarea unor proceduri 
formale de acces în locaţiile care Planuri de 
găzduiesc echipamente IT importante amplasare 


care să stabilească: persoanele care au 
acces la servere, modul în care se 
controlează accesul la servere (ex. 
cartele de acces, chei, registre), 


Proceduri de 
acces 


Evidenţe 
procedura de alocare a cartelelor privind 
către utilizatori şi de monitorizare a 
ONE A ; accesul 
respectării acesteia, cerința ca 
vizitatorii să fie însoțiți de un Evidente 
reprezentant al entității referitoare la 
echipamente 


Existența unor măsuri pentru a 
asigura că se ține o evidență exactă a 
echipamentului informatic şi a 


şi la software 


; ; Inspecție, 
programelor informatice (marcarea i 
x observație 
sau etichetarea echipamentele pentru bed 
juta identificarea), pentru a (probe de 
Aaa , P audit fizice) 


preveni pierderea intenționată sau 
neintenționată de echipamente şi a 
datelor conținute în acestea 


Auditorul trebuie să determine prin interviu și prin observare directă (inspecţie în sălile în 
care sunt amplasate echipamentele) dacă există dotările necesare pentru asigurarea 
controlului accesului fizic în zona de securitate definită. De asemenea, trebuie să verifice 
existența și modul de implementare a procedurilor asociate. 
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B.3.2 Aspectele care se iau în considerare atunci când se examinează controalele 
privind protecţia mediului 


Asigurarea că în camera serverelor există dotările necesare pentru protecția mediului: 
sisteme de prevenire a incendiilor; dispozitive pentru controlul umidității; aer condiționat; 
dispozitive UPS; senzori de mișcare; camere de supraveghere video. 


Asigurarea că serverele și elementele active ale rețelei sunt amplasarea în rackuri speciale 
şi cablurile de rețea sunt protejate și etichetate. 


Tabelul 12 


Secțiunea Controale privind securitatea fizică și controalele de mediu - B.3.2 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
CONTROALE PRIVIND SECURITATEA FIZICĂ ŞI CONTROALELE DE MEDIU 
Protecţia mediului Asigurarea că în camera serverelor If? Contra Regulamente, 
există dotările necesare pentru norme, 
; gina generale IT i PRR 
protecția mediului: instrucțiuni 
- sisteme de prevenire a | 
incendiilor Planuri/ 
- dispozitive pentru controlul scheme de 
umidității amplasare 
e si voni fionar Evidenţe 
- dispozitive UPS a 
; ; referitoare la 
- senzori de mişcare i 
f echipamente 
- camere de supraveghere video 
pentru 
rotecția 
Amplasarea în rackuri speciale şi le a 
. mediului 
protejarea serverelor, protejarea 
elementelor active ale reţelei și a Inspecţie, 
cablurilor de reţea, etichetarea observaţie 
cablurilor (probe de 
audit fizice) 


Auditorul trebuie să determine prin interviu și prin observare directă (inspecţie în sălile în 
care sunt amplasate echipamentele) dacă există dotările necesare pentru protecţia mediului 
(sisteme de prevenire a incendiilor, dispozitive pentru controlul umidității, aer condiționat, 
dispozitive UPS, senzori de mișcare, camere de supraveghere video). De asemenea, trebuie să 
verifice existenţa și modul de implementare a procedurilor asociate. 


PROCEDURA B4 - Securitatea informaţiei şi a sistemelor 


Nevoia de menținere a integrității informaţiilor şi protejarea bunurilor IT necesită un 
proces de management al securităţii. Securitatea informaţiei și a sistemelor se realizează 
prin implementarea unor proceduri care să prevină obținerea accesului neautorizat la 
date sau programe critice şi să asigurare confidenţialitatea, integritatea și credibilitatea în 
mediul în care aceste sisteme operează. Acest proces include stabilirea şi menținerea 
rolurilor de securitate IT şi a responsabilităților, politicilor, standardelor și procedurilor. 
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Gestionarea securității mai include și efectuarea monitorizărilor periodice de securitate, 
testarea periodică și implementarea acțiunilor corective pentru identificarea punctelor 
slabe în securitate și a incidentelor. Gestionarea eficientă a securităţii protejează toate 
bunurile IT pentru minimizarea impactului vulnerabilităților asupra afacerii. 

Obiective de control referitoare la sistemul de management al securității sunt: Politica de 
securitate IT, managementul identității, managementul conturilor utilizatorilor, testarea 
securităţii, inspecția și monitorizarea, definirea incidentelor de securitate, protecţia 
tehnologiei de securitate, managementul cheilor criptografice, prevenirea, detectarea și 
neutralizarea software-ului rău-intenţionat, securitatea reţelei, transferul datelor sensibile 


e Desemnarea unei persoane cu atribuții privind administrarea securității, 
desemnarea unui responsabil (ofițer) pentru securitate şi definirea în mod formal a 
atribuţiilor acestora, asigurarea segregării responsabilităților pentru aceste funcţii, 
asigurarea că politicile de securitate acoperă toate activitățile IT într-un mod 
consistent. 


e Controlul accesului logic (administrarea utilizatorilor, existența și implementarea 
regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existența 
unor utilitare de sistem cu funcţii specializate, accesul IT, revizuirea jurnalelor de 
operații). 

e Revizuirea jurnalelor de operații (log-uri) presupune monitorizarea și analiza 
periodică a jurnalelor de operaţii, alocarea responsabilităţilor și specificarea 
metodelor care se aplică. 


e Administrarea utilizatorilor are asociate proceduri formale privind administrarea 
drepturilor utilizatorilor, acordarea, modificarea și revocarea drepturilor de acces. 


e Regulile pentru parole. Se stabilesc proceduri formale care implementează 
controale relative la: lungimea parolei, existența unor reguli referitoare la 
conținutul parolei, stabilirea unei perioade de valabilitate a parolei, numărul de 
încercări prevăzute până la blocarea contului, existența unei persoane cu atribuții 
în deblocarea conturilor blocate, numărul de parole reținute de către sistem, 
schimbarea parolei la prima accesare. 


e Controlul asupra conturilor cu drepturi depline/utilitare de sistem. Se au în vedere 
controale privind: stabilirea dreptului de administrare a sistemului, de alocare şi 
autorizare a conturilor cu drepturi depline, de monitorizare a activităților 
utilizatorilor cu drepturi depline. 


e Acces IT. Se au în vedere controale privind: drepturile de acces ale programatorilor 
la mediile de producție, drepturile de acces ale departamentului IT la datele 
celorlalte departamente. 


e Conexiuni externe. Controalele se referă la: protejarea conexiunilor externe 
împotriva atacurilor informatice, existența unor proceduri de control al accesului 
de la distanță, măsurile de securitate aplicate pentru a controla accesul de la 
distanţă. 


B.4.1 Aspectele care se iau în considerare atunci când se examinează controalele 
privind Politica de securitate 


Politica de securitate a informaţiei asigură orientarea generală din partea managementului 
şi acordarea sprijinului pentru securitatea informaţiei în conformitate cu cerințele 
afacerii, legislație şi reglementările aplicabile. 
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Aceasta se reflectă în existența unui document formal (distribuit tuturor utilizatorilor, cu 
semnătura că au luat cunoștință), în existența unei persoane care are responsabilitatea 
actualizării acestei politici, precum şi în aplicarea măsurilor pentru a creşte 
conştientizarea în cadrul entității cu privire la securitate (cursuri, prezentări, mesaje pe 
e-mail). 


Politica de securitate se exprimă într-o formă concisă, narativă, este aprobată de 
managementul de vârf, trebuie să fie disponibilă pentru toți funcționarii responsabili cu 
securitatea informaţiei şi trebuie să fie cunoscută de toţi cei care au acces la sistemele de 
calcul. 


Politica de securitate trebuie să conțină următoarele elemente: 
+ O definiţie a securităţii informaţiei, obiectivele sale generale și scopul; 
+ O declaraţie de intenție a managementului prin care acesta susține scopul şi 
principiile securității informației; 
+ O detaliere a politicilor, principiilor şi standardelor specifice privind 
securitatea, precum şi a cerinţelor de conformitate cu acestea: 
1. conformitatea cu cerinţele legale şi contractuale; 
2. educaţie şi instruire în domeniul securităţii; 
3. politica de prevenire şi detectare a viruşilor; 
4. politica de planificare a continuității afacerii. 
+ O definire a responsabilităţilor generale și specifice pentru toate aspectele 
legate de securitate; 
+ O descriere a procesului de raportare în cazul apariţiei incidentelor privind 
securitatea. 
Entitatea trebuie să implementeze metode de monitorizare a conformităţii cu politica de 
securitate și să furnizeze asigurarea că politica este de actualitate. Responsabilitatea 
pentru securitatea IT este asignată unei funcții de administrare a securității. 


Tabelul 13 
Secțiunea Securitatea informaţiei și a sistemelor - B.4.1 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


SECURITATEA INFORMAȚIEI ŞI A SISTEMELOR 


Politica de Existenţa unei politici de securitate | LV. Controale | Politica de 
securitate IT formale generale IT securitate 
Se verifică dacă aceasta este Măsuri 
distribuită tuturor utilizatorilor, dacă 
utilizatorii semnează că au luat Tabele de 
cunoştinţă de politica de securitate IT luare la 


cunoştinţă sau 


Aplicarea unor măsuri pentru a crește . i 
mesaje e-mail 


conştientizarea în cadrul entității cu 
privire la securitate (cursuri, 


S : Proceduri 
prezentări, mesaje pe e-mail) 


asociate 


Se analizează conținutul 
documentului pentru a evalua 
domeniile acoperite de politica de 
securitate şi cadrul procedural asociat 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


Se verifică dacă politica de securitate 
este actualizată periodic şi dacă este 
alocată responsabilitatea cu privire la 
actualizarea politicii de securitate 


Auditorul trebuie să determine prin interviu, prin analiza politicii de securitate și a 
procedurilor asociate și prin observare directă dacă Politica de securitate este distribuită 
tuturor utilizatorilor, dacă utilizatorii au semnat că au luat cunoștință de politica de 
securitate IT, dacă există o persoană care este responsabilă de actualizarea acestei politici, 
dacă s-au aplicat măsuri pentru a crește conştientizarea în cadrul entității cu privire la 
securitate (cursuri, prezentări, mesaje pe e-mail). 


B.4.2 Controlul accesului logic 


O problemă deosebit de importantă în cadrul unui sistem de management al securităţii 
este protejarea informaţiilor și a resurselor aferente sistemelor IT, care nu pot fi 
controlate ușor numai prin intermediul controalelor fizice. Problema este cu atât mai 
complicată, cu cât calculatoarele sunt conectate în rețele locale sau în rețele distribuite 
geografic. 


Controalele logice de acces pot exista atât la nivelul sistemului, cât și la nivelul aplicaţiei. 
Controalele la nivelul sistemului pot fi utilizate pentru restricționarea accesului 
utilizatorilor la anumite aplicaţii şi date şi pentru a restricționa folosirea neautorizată a 
utilităţilor sistemelor. Controalele logice de acces sunt adesea utilizate împreună cu 
controalele fizice de acces pentru a reduce riscul modificării neautorizate a programelor și 
a fişierelor de date. Monitorizarea continuă a documentelor (jurnalelor) care înregistrează 
evenimentele care se referă la accesul logic constituie un factor de creştere a eficienței 
controalelor implementate. Eficiența rapoartelor către conducere și a registrelor produse 
de calculatoare este semnificativ redusă dacă nu sunt analizate și verificate regulat de 
către conducere. 


Controalele accesului logic se vor detalia pe baza declaraţiilor de nivel înalt cuprinse în 
politica de securitate IT a entității. 
Tabelul 14 


Secțiunea Securitatea informaţiei și a sistemelor - B.4.2 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


SECURITATEA INFORMAȚIEI ŞI A SISTEMELOR 


Controlul | Revizuirea logurilor LV. Controale aaa i 

accesului logic Asigurarea că logurile aplicaţiilor generale IT blat aici 
importante monitorizate și analizate Măsuri 
periodic (cine, când, cum, dovezi) Regulamente, 
Administrarea utilizatorilor Norme 


Existenţa unei proceduri pentru 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
administrarea drepturilor Declaraţii 
utilizatorilor. Se verifică modul de privind 
implementare securitatea 
Includerea în procedura de mai sus a Tabele de 
măsurilor ce trebuie luate în cazul în luare la 


care un angajat pleacă din cadrul 
instituţiei 


Existenţa unui document (formular pe 
hârtie sa în format electronic) pentru 
crearea şi ştergerea conturilor de 
utilizator şi pentru acordarea, 
modificarea și revocarea drepturilor 
de acces care să fie aprobat de 
conducere 


Acordarea tuturor drepturilor de 
acces, în baza acestui formular 


Verificarea periodică a utilizatorilor 
activi ai sistemului în concordanţă cu 
lista de angajaţi furnizată de 
departamentul Resurse Umane 


Reguli pentru parole 


Definirea regulilor pentru parole 
pentru accesul în subsistemele IT 
Trebuie avute în vedere următoarele: 
- lungimea parolei 
- reguli referitoare la conţinutul 
parolei 
- perioada de valabilitate a 
parolei 
- numărul de încercări până la 
blocarea contului 
- cine poate debloca un cont 
- numărul de parole precedente 
reținute de către sistem 
- utilizatorii sunt forțați să 
schimbe parola la prima 
accesare? 


Control asupra conturilor cu 
drepturi depline/utilitare de sistem 


Alocarea dreptului de administrare 
pentru aplicaţiile /subsistemele de 
bază 


Alocarea şi autorizarea conturilor cu 
drepturi depline 


Monitorizarea activităților 
utilizatorilor cu drepturi depline 


cunoştinţă sau 
mesaje e-mail 


Proceduri 
asociate 


Jurnale de 
operaţii 
(log-uri) 
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Documente Surse probe 


Direcţii de evaluare Obiective de control de lucru de audit 


Acces IT 


Verificarea drepturilor de acces la 
datele reale pentru programatori 


Verificarea drepturilor de acces la 
datele celorlalte structuri ale entității 
pentru compartimentul IT 


Auditorul trebuie să determine prin consultarea documentelor, prin interviu și prin 
observare directă (la staţiile de lucru) dacă este implementat cadrul procedural pentru 
asigurarea controlului accesului logic și modul de monitorizare a acestuia: 


va verifica modul de implementare a regulamentului de control al accesului și dacă 
acesta este documentat și actualizat. 


va evalua măsurile de acces logic existente pentru a restricționa accesul la sistemul 
de operare, la fișierele de date și la aplicaţii și să aprecieze dacă acestea sunt 
corespunzatoare: meniuri restricționate pentru utilizatori, coduri unice de 
identificare și parole pentru utilizator, revizuirea drepturilor de acces ale 
utilizatorului, profilul utilizatorului și al grupului. 


va evalua cât de adecvate sunt regulile privind parolele ale entității (lungimea 
parolei, durata / datele de expirare, procedurile de modificare, componenţa parolei, 
dezafectarea codului de identificare al celor ce pleacă din instituţie, criptarea parolei, 
înregistrarea și alocarea de parole noilor utilizatori, punerea în aplicare a regulilor 
privind parolele. 


va efectua teste privind modul de implementare a unor tipuri suplimentare de 
controale de acces logic: jurnale de operaţii, restricționarea încercărilor de acces, 
proceduri și registre de acces, acces specific în funcţie de terminal, registre de 
încercări neautorizate, limitarea acceselor multiple, timp automat de expirare, acces 
restricţionat la utilităţi și înregistrarea folosirii utilităţilor sistemului și a 
instrumentelor de audit, controlul staţiilor de lucru neutilizate. 

va evalua măsurile pentru restricționarea accesului personalului de dezvoltare a 
sistemului la datele reale (din mediul de producţie) și la mediul de producție 
(programatori, firma dezvoltatoare de software). 


va evalua modul de alocare, autorizare, control şi monitorizare a utilizatorilor 
privilegiați (administratori, ingineri de sistem și programatori de sistem și de baze de 
date). 
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B.4.3 Aspectele care se iau în considerare atunci când se examinează controalele 
privind administrarea securității 


Tabelul 15 


Secțiunea Securitatea informaţiei și a sistemelor - B.4.3 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
SECURITATEA INFORMAȚIEI ŞI A SISTEMELOR 
Administrarea Alocarea responsabilității cu privire la LV Controale Politica de 
securității administrarea securității IT şi enerale IT securitate 
definirea în mod formal a sarcinilor g SN 
administratorului securității Măsuri 
Regulamente, 
Asigurarea separării Norme 
responsabilităților pentru | 
administratorul securităţii Proceduri 
Se verifică dacă aplicarea politicilor de Jurnale de 
securitate acoperă toate activitățile IT operaţii 
într-un mod consistent (log-uri) 
Responsabili 


Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este 
implementat cadrul procedural pentru asigurarea controlului administrării securității 
(examinarea documentelor din care rezultă responsabilităţile și sarcinile cu privire la 
administrarea securităţii IT, separarea atribuţiilor, reflectarea acestora în politica de 
securitate). 


B.4.4 Aspectele care se iau în considerare atunci când se examinează controalele 
privind conexiuni externe 


Controale de acces slabe măresc riscul atacurilor din partea hackerilor, al viermilor și al 
viruşilor care afectează integritatea şi disponibilitatea evidenţelor financiare. 
Managementul inadecvat al rețelei poate expune organizația amenințărilor interne și 
externe cu privire la integritatea datelor. O rețea slab securizată poate, de exemplu, să fie 
vulnerabilă la difuzarea virușilor informatici. 


Tabelul 16 
Secțiunea Securitatea informaţiei și a sistemelor - B.4.4 
Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
SECURITATEA INFORMAȚIEI ŞI A SISTEMELOR 
Conexiuni externe Existenţa unei persoane desemnate LV. Controale | Politica de 
pentru administrarea reţelei IT generale IT securitate 
Măsurile luate pentru monitorizarea Măsuri 
rețelei din punct de vedere al Regulamente, 
securității şi performanţei Norme 
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Documente Surse probe 


Direcţii de evaluare Obiective de control de lucru de audit 
Proceduri 
Modul de protejare a conexiunilor 
externe împotriva atacurilor Jurnale de 
informatice (viruşi, acces neautorizat) operaţii 
(log-uri) 


Dacă este permis accesul la sistem 
unor organizații externe (ex. Internet, 
conexiuni on-line) 


Se verifică existența unor proceduri 
de control privind accesul de la 
distanță și măsurile de securitate 
aplicate 


Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este 
implementat cadrul procedural pentru asigurarea controlului rețelei: existența unei 
persoane desemnate pentru administrarea reţelei IT, măsurile luate pentru monitorizarea 
securităţii rețelei, pentru protejarea conexiunilor externe împotriva atacurilor informatice 
(viruși, acces neautorizat), reglementarea accesului la sistem din partea unor organizații 
externe (de exemplu, Internet, conexiuni on-line), existența unor proceduri de control privind 
accesul de la distanță și măsurile de securitate aplicate. 


B.4.5 Aspectele care se iau în considerare atunci când se examinează controalele de 
reţea și de utilizare a Internetului 


Extinderea rețelei Internet a scos în evidenţă și a impus cerințe, concepte și riscuri noi, 
care au avut consecințe privind securitatea sistemelor și controalele asociate. 

Întrucât conectarea sistemelor în reţele comportă riscuri specifice, reţeaua trebuie 
controlată astfel încât să poată fi accesată numai de către utilizatorii autorizați, iar datele 
transmise să nu fie pierdute, alterate sau interceptate. 


Cele mai relevante controale de rețea și de utilizare a Internetului, pe care entitățile 
trebuie să le implementeze, sunt: 
a) Controalele privind erorile de transmisie și de comunicaţie: se referă la erorile 
care pot să apară în fiecare stadiu al ciclului comunicației, de la introducerea 
datelor de către utilizator, continuând cu transferul până la destinaţie. 
b) Controalele de rețea 
c) Controalele de utilizare a Internetului 


Implicaţiile privind securitatea și controlul, care decurg din conectarea la Internet a unei 
entități sunt: 


a) Implicatiile privind securitatea decurg din: caracterul anonim al unor utilizatori 
care vor să contravină principiilor accesului în Internet, vulnerabilitatea 
confidențialităţii prin interceptarea parolei cu ajutorul unor programe specializate 
în cursul înregistrării pe anumite site-uri, acțiunile hackerilor, pirateria şi 
pornografia, software rău intenționat (viruși, programe "cal troian"). 


b) Protecţia securităţii: educarea utilizatorilor proprii privind consecințele unui 


rw ore 
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rețelei Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la 
Internet, în scopul evitării expunerii directe a sistemului de calcul propriu la 
atacuri din reţeaua Internet. 


Secțiunea Securitatea informaţiei și a sistemelor - B.4.5 


Tabelul 17 


Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 
SECURITATEA INFORMAȚIEI ŞI A SISTEMELOR 
Controale privind | Se verifică implementarea l IV Controale Politica de 
erorile de controalelor pentru fiecare stadiu al enerale IT securitate 
transmisie şi de ciclului comunicaţiei în parte, de la g TE 
i x ăsuri 
comunicatie introducerea datelor de către 
? utilizator, continuând cu transferul Regulamente, 
până la destinație Norme 
Proceduri 
Jurnale de 
operații 
(log-uri) 


Controale de rețea 


Elaborare și implementarea Politicii 
de securitate a reţelei, care poate 
face parte din politica generală de 
securitate IT 


Existenţa standardelor de rețea, a 
procedurilor și instrucţiunilor de 
operare, care trebuie să se bazeze pe 
politica de securitate a rețelei şi a 
documentaţiei aferente 


Existența documentaţiei rețelei care 
descrie structura logică şi fizică a 
rețelei 


Existenţa cadrului procedural 
privind controalele accesului logic: 
procedura de conectare, reguli 
privind parolele, permisiile de acces 
la resursele sistemului, restricţiile 
privind utilizarea resurselor externe 
(de exemplu este restricționat 
accesul în rețeaua Internet) 


Reţeaua trebuie să fie controlată și 
administrată de personal cu 
instruire şi experiență adecvate, 
monitorizat de management; 


Implementarea unei proceduri 
pentru întreținerea jurnalelor de 


LV. Controale 
generale IT 


Politica de 
securitate a 
rețelei şi 
procedurile 
asociate 
Standarde de 
rețea, 
proceduri şi 
instrucțiuni de 
operare 


Documentaţia 
rețelei 


Jurnale de 
operaţii 


Documentații 
tehnice 


Probe de audit 
fizice: 
observare, 
demonstrații, 
teste 


operaţii de către sistemul de operare 
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Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


al rețelei, precum și pentru 
revizuirea periodică în scopul 
depistării activităților neautorizate 


Utilizarea unor instrumente utilitare 
pentru managementul şi 
monitorizarea rețelei (pachete 
software sau echipamente 
hardware), disponibile pentru 
administratorii de rețea. Acestea pot 
monitoriza utilizarea rețelei şi a 
capacității acesteia şi pot inventaria 
produsele software utilizate de către 
fiecare utilizator; 


Monitorizarea accesului furnizorilor 
de servicii şi al consultanţilor 


Restricționarea terminalelor prin 
intermediul codurilor de terminal 
sau a al adresei de rețea 


Implementarea unor algoritmi de 
încriptare a datelor pentru 
protejarea în cazul interceptării în 
rețea 


Utilizarea liniilor private sau 
dedicate pentru reducerea riscului 
de intercepție 


Controale de bază 
în rețeaua Internet 


Implementarea unui cadru procedural 
pentru minimizarea consecințelor 
negative generate de conexiunea 
directă la Internet care presupune: 

- Izolarea fizică a calculatorului legat 
la Internet, de sistemul de calcul al 
entității; 

- Desemnarea unui administrator cu 
experiență şi de încredere pentru 
supravegherea calculatoarelor cu 
acces la Internet; 

- Prevenirea accesului anonim sau, 
dacă trebuie să fie permis, 
eliminarea efectelor negative ale 
acestuia; 

- Ştergerea tuturor datelor şi 
programelor care nu sunt necesare, 
de pe calculatorul cu acces la 
Internet; 

- Monitorizarea atacurilor prin 
înregistrarea lor; 

- Crearea unui număr cât mai mic 


LV. Controale 
generale IT 


Politica de 
securitate şi 
procedurile 
asociate 


Măsuri 
Regulamente, 
Norme 


Documentații 
tehnice 
privind soluţia 
Internet 
Jurnale de 
operaţii 
(log-uri) 


Responsabili 
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Documente Surse probe 
Direcţii de evaluare Obiective de control de lucru de audit 


posibil de conturi de utilizator pe 
calculatorul cu acces la Internet și 
schimbarea regulată a parolelor; 


Includerea în configuraţie a unei 
protecţii de tip "firewall" pentru a 
facilita controlul traficului între 
rețeaua entității și Internet şi pentru a 
stopa penetrarea pachetelor externe 
neautorizate 


Implementarea unei politici adecvate 
privind parolele pentru securitatea 
calculatoarelor conectate la Internet 
care să prevadă: utilizarea parolelor 
ascunse, utilizarea unui algoritm 
nestandard de încriptare a parolelor, 
etc. 


Incriptarea informaţiilor transmise în 
rețeaua Internet 


Utilizarea unor servicii de poştă 
electronică perfecționate, dezvoltate 
pentru a asigura confidenţialitatea şi 
integritatea mesajelor transmise, prin 
încriptare şi prin semnare electronică 


Utilizarea unor instrumente de 
evaluare a securității utilizate pentru 
analiza şi evaluarea securității 
rețelelor, raportând slăbiciunile 
acestora în ceea ce privește controlul 
accesului sau regulile pentru parole 


Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este 
implementat cadrul procedural pentru asigurarea că rețeaua este controlată astfel încât să 
poată fi accesată numai de către utilizatorii interni sau externi autorizaţi, iar datele 
transmise să nu fie pierdute, alterate sau interceptate: implementarea unei politici de 
securitate a reţelei, utilizarea standardelor de reţea, a procedurilor și a instrucţiunilor de 
operare asociate acestei politici, existența și disponibilitatea documentației aferente 
cadrului procedural și a documentaţiei reţelei (care descrie structura logică și fizică a 
rețelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind 
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea 
resurselor externe, existența unui personal cu instruire și experienţă adecvate, înregistrarea 
automată în jurnalele de operaţii și revizuirea periodică a acestora pentru a se depista 
activitățile neautorizate, utilizarea unor instrumente  software/hardware pentru 
managementul și monitorizarea rețelei, monitorizarea accesului furnizorilor de servicii și al 
consultantilor, criptarea datelor. 
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Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este 
implementată o politică pentru minimizarea consecințelor negative generate de conexiunea 
directă la Internet, care să abordeze aspectele prezentate mai sus: protecţie firewall, 
administrator cu experiență și de încredere pentru supravegherea calculatoarelor cu acces 
la Internet, politica privind parolele, încriptarea, Instrumentele de evaluare a securității 
utilizate, serviciile de poștă electronică perfecţionate, monitorizarea atacurilor. 


PROCEDURA B5 - Continuitatea sistemelor 


Managementul continuității sistemelor are ca obiectiv principal menținerea integrității 
datelor entității prin intermediul unor servicii operaționale și al unor facilități de 
prelucrare și, dacă este necesar, furnizarea unor servicii temporare până la reluarea 
serviciilor întrerupte. 


În scopul eliminării riscului unor defecţiuni majore generate de sistemul IT, trebuie 
implementate controale adecvate, astfel încât entitatea să poată relua în mod eficient 
operațiunile, într-o perioadă de timp rezonabilă, în cazul în care funcţiile de prelucrare nu 
mai sunt disponibile. Aceasta presupune, în principal, întreținerea și gestionarea copiilor 
de siguranţă ale datelor și sistemelor, implementarea unor politici pentru managementul 
datelor şi al problemelor, planificarea continuității, protecția împotriva viruşilor. 


B.5.1 Mentinerea copiilor de siguranţă (backup) ale datelor și sistemelor şi 
managementul datelor 


Menţinerea copiilor de siguranță este o cerință esenţială pentru asigurarea continuității 
sistemelor informatice, întrucât deteriorarea fondului de date sau a programelor ar 
compromite întregul sistem și, implicit, activitățile care se bazează pe rezultatele furnizate 
de acesta. Pentru eliminarea acestui risc este necesară elaborarea și aplicarea unei 
proceduri formale de salvare / restaurare, şi de conservare a copiilor, care să precizeze: 
conținutul copiei, tipul suportului, frecvenţa de actualizare, locul de stocare. De asemenea, 
se impune elaborarea unor proceduri de testare a copiilor de rezervă şi de recuperare a 
sistemului în caz de incident, precum și evaluarea timpului necesar restaurării datelor / 
sistemelor în caz de incident. 


Managementul eficient al datelor presupune: identificarea cerinţelor de date, stabilirea 
procedurilor eficiente pentru a gestiona colecțiile de date, copiile de siguranță /backup și 
recuperarea datelor precum și distribuirea eficientă a acestora pe suporturile de 
informaţii. Un management eficient al datelor ajută la asigurarea calității, aranjării 
cronologice și disponibilităţii datelor. 


Tabelul 18 
Secţiunea Continuitatea sistemelor - B.5.1 
Direcţii de evaluare Obiective de control Dociiue te Surse Probe 
i de lucru de audit 
CONTINUITATEA SISTEMELOR 
Copii de siguranţă Implementarea unei proceduri LV. Controale lila La 
(back-up) ale a salvare/ 
BNE formale de salvare (back-up) caresă | generale IT 
datelor, aplicațiilor specifice: restaurare, 
şi sistemelor P j ; testare a 
- tip de copie iilor de 
(automată/manuală) eat 
siguranță 
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Direcţii de evaluare Obiective de control Documente Surse prone 
á de lucru de audit 

- frecventa copiilor de siguranță 

- conținutul copiei (date, Măsuri 
aplicații, sisteme, Regulamente, 
complet/incremental) Norme 

- locul de stocare a 
copiei/copiilor Probe de audit 

- tipul de suport fizice: 

- alte comentarii. observare, 

Inspecție, 
Existența unei proceduri de testare a demonstratii 


copiilor de siguranță. Frecvența şi 
modul de evidenţiere 


Scenarii de 


Implementarea unei proceduri de Weblarg 

recuperare / restaurare 

Efectuarea de către entitate a unor 

analize cu privire la timpul necesar 

restaurării datelor /aplicațiilor/ 

sistemului 
Managementul Au fost identificate cerinţele de date, Li Contool Proceduri 
datelor sunt stabilite proceduri eficiente pentru 

í y generale IT 
pentru a gestiona colecțiile de date, managementul 
copiile de siguranță/backup şi datelor 


recuperarea datelor, precum şi 
distribuirea eficientă şi aranjarea 
cronologică a acestora pe suporturile 
de informaţii 


Sunt stabilite aranjamente privind 
depozitarea şi păstrarea datelor 


Este reglementat sistemul de 
management al bibliotecii media 


Sunt stabilite proceduri referitoare la 
eliminarea datelor perimate 


Sunt stabilite cerințe şi proceduri de 
securitate pentru managementul 
datelor 


Probe de audit 
fizice: 
observare, 
inspecţie, 
demonstrații, 
teste 


Auditorul va examina procedurile și modul de implementare a controalelor referitoare la 
următoarele obiective de control: 


e Implementarea unei proceduri formale de salvare (back-up) care să specifice: 
e Existenţa unei proceduri de testare a copiilor de siguranţă. Frecvența și modul de 


evidențiere; 


e Implementarea unei proceduri de recuperare / restaurare; 
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e Implementarea unor proceduri formale pentru managementul datelor; 
e Efectuarea de către entitate a unor analize cu privire la timpul necesar restaurării 
datelor / aplicaţiilor / sistemului. 


B.5.2 Managementul capacităţii 


Nevoia de a gestiona performanța și capacitatea resurselor IT necesită un proces de 
revizuire periodică a performanței actuale și a capacității resurselor IT. Acest proces 
include previziunea nevoilor viitoare bazate pe volumul de prelucrare, stocare şi cerințele 
de urgenţă. Acest proces oferă siguranţa că resursele informaţionale care susțin cerințele 
afacerii sunt disponibile continuu. 

Managementul capacității se bazează pe analiza capacităţii configurației disponibile de a 
face față cerințelor sistemelor sau aplicaţiilor prin prisma unor criterii de performanță 
stabilite. Concluziile formulate constituie suport pentru decizii privind: măsuri referitoare 
la eliminarea îngustărilor de trafic, optimizarea configurării rețelelor și / sau sistemelor, 
reproiectări ale fluxurilor, elaborarea unor grafice de utilizare, extinderea configurațiilor 
sau înlocuirea acestora. 


Tabelul 19 
Secţiunea Continuitatea sistemelor - B.5.2 


Documente Surse probe 


Direcţii de evaluare Obiective de control : 
i de lucru de audit 
CONTINUITATEA SISTEMELOR 
aie i Entitatea a implementat un cadru LV_ Controale  . la: 
per or mangel yra procedural referitor la: planificarea generale IT A 
capacităţii îi pietii planificarea 
performanţei şi capacităţii, evaluarea E aaa 
performanţei și capacităţii actuale şi A A 
viitoare, monitorizare şi raportare ş1 cap Ta 
evaluarea 
Efectuarea de către entitate a unor performanţei 
analize privind capacitatea pentru şi capacității 
hardware şi pentru rețea cu o actuale şi 
periodicitate stabilită viitoare, 
monitorizare 


Efectuarea de către entitate a unor 
analize privind performanța şi 
capacitatea aplicațiilor IT. Indicatori Scenarii de 
avuti în vedere testare 


şi raportare 


Efectuarea de către entitate a unor 
analize privind gâtuirile de trafic. 
Detalii 


Responsabili 


Auditorul va examina procedurile și modul de implementare a controalelor referitoare la 
următoarele obiective de control: 


e Implementarea unui cadru procedural referitor la: planificarea performantei și 
capacității, evaluarea performanței și capacităţii actuale și viitoare, monitorizare și 
raportare; 
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e Efectuarea de către entitate a unor analize privind capacitatea pentru hardware și 
pentru reţea, precum și periodicitatea acestor analize; 


e Efectuarea de către entitate a unor analize privind performanța și capacitatea 
aplicațiilor IT și indicatorii avuţi în vedere; 


e Efectuarea de către entitate a unor analize privind gâtuirile de trafic. Detalierea 
problemelor. 


B.5.3 Managementul problemelor 


Managementul eficace al problemelor cere identificarea şi clasificarea problemelor, 
analiza cauzelor primare şi a soluţiilor propuse pentru acestea. Procesul de management 
al problemelor include de asemenea formularea recomandărilor pentru îmbunătăţire, 
păstrarea inregistrărilor cu privire la probleme și analiza stării acțiunilor corective. Un 
management eficace al problemelor maximizează disponibilitatea sistemului, 
îmbunătăţeşte nivelul serviciilor, reduce costurile şi sporeşte confortul și satisfacția 
clienților. 


Managementul problemelor are ca scop depistarea şi soluționarea problemelor apărute în 
funcționarea sistemului informatic pe întreaga durată de viață a acestuia prin asigurarea 
unui cadru procedural care să impună: 

(a) modul de detectare, semnalare, comunicare, înregistrare, rezolvare şi urmărire a 
problemelor, (b) analiza şi verificarea modului de rezolvare, etapele care se parcurg, 
precum şi (c) documentele utilizate (registrul problemelor, lista problemelor rămase 
deschise sau care se repetă frecvent). 


Pentru a răspunde la timp și eficient cerințelor utilizatorilor din IT este nevoie de un 
proces bine structurat de management al incidentelor și de suport tehnic. Acest proces 
include stabilirea unei funcțiuni de Service Desk / Help Desk pentru înregistrarea 
incidentelor, analiza tendinței și cauzelor problemelor, precum şi pentru rezolvarea lor. 
Beneficiile obținute includ creșterea productivităţii prin rezolvarea mai rapidă a 
cerințelor utilizatorilor. Mai mult, se pot evidenția cauzele problemelor (cum ar fi lipsa de 
instruire), printr-o raportare eficientă. 


Tabelul 20 


Secțiunea Continuitatea sistemelor - B.5.3 


Documente Surse probe 


Direcţii de evaluare Obiective de control z 
z de lucru de audit 


CONTINUITATEA SISTEMELOR 


Managementul Implementarea unui cadru procedural | LV. Controale | Proceduri 
problemelor care să trateze următoarele aspecte: | generale IT referitoare la 
managementul 
- Modul în care se semnalează problemelor 
compartimentului IT apariţia 
problemelor; 
Proceduri 
- Cum se ține evidenţa problemelor referitoare la 
în cadrul compartimentului IT Service Desk/ 
(registru al problemelor sau o altă Help Desk: 
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Documente Surse probe 


Direcţii de evaluare Obiective de control 
5 de lucru de audit 
formă de evidență); înregistrarea 
- [Implementarea funcției Helpdesk; Perin tii 
i clienților, 
- Etapele care trebuie urmate înregistrarea 
pentru rezolvarea problemelor; incidentelor, 
închiderea 


- Verificarea şi analiza listei de 


probleme de către conducere; unui incident, 


raportarea şi 


- Implementarea unei proceduri de analiza 
urmărire a problemelor rămase tendinţelor 
deschise; 


- Implementarea unei proceduri 
pentru situaţia nerezolvării 
problemei; 


- Responsabilitatea documentării şi 
aducerii la cunoștința celor direct 
implicaţi a acestor proceduri 


Integrarea managementului 
configurației, incidentelor şi al 
problemelor 


Auditorul va examina procedurile și modul de implementare a controalelor referitoare la 
următoarele obiective de control: 


+ Implementarea unui cadru procedural care să trateze următoarele aspecte: 


- Modul în care se semnalează compartimentului IT apariția problemelor; 


- Cum se ține evidența problemelor în cadrul compartimentului IT (registru al 
problemelor sau o altă formă de evidenţă); 


- Implementarea funcţiei Service Desk/ Help Desk; 

- Etapele care trebuie urmate pentru rezolvarea problemelor; 

- Verificarea și analiza listei de probleme de către conducere; 

- Implementarea unei proceduri de urmărire a problemelor rămase deschise; 
- Implementarea unei proceduri pentru situația nerezolvării problemei. 


+  Responsabilitatea documentării și aducerii la cunoștința celor direct implicați a 
acestor proceduri. 
+ Integrarea managementului configurației, incidentelor și al problemelor. 


B.5.4 Planificarea continuității 


Nevoia asigurării continuității serviciilor IT necesită dezvoltarea, menținerea şi testarea 
planurilor de continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de 
backup și oferirea unui plan de instruire continuu. Un proces eficient de asigurare a 
continuității serviciilor reduce probabilitatea şi impactul unei întreruperi majore a 
serviciilor IT asupra funcţiilor și proceselor cheie ale afacerii. 
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Planificarea continuității proceselor IT presupune existența unui astfel de plan, 
documentat corespunzător, de continuitate a afacerii și, în particular, a operaţiunilor IT. 
Planul de continuitate a activității reprezintă un control corectiv semnificativ. 

Pentru elaborarea unui plan extensiv, care să răspundă gamei largi de probleme asociate 
continuității proceselor IT sunt necesare atât aptitudini cât și disponibilitatea unei 
metodologii care să ofere cadrul procedural pentru toată problematica abordată: definirea 
obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea 
termenelor şi a responsabilităților, aprobare. 


Elaborarea planului are la bază o analiză detaliată a impactului pe care l-ar genera lipsa 
sistemului IT asupra afacerii, în scopul reducerii riscurilor. Sunt examinate, de asemenea, 
măsurile de prevenire a dezastrului pentru a opera perfecționarea acestor măsuri. Pe baza 
analizelor şi informaţiilor preliminare, se realizează dezvoltarea planului de continuitate, 
care va fi implementat, testat prin simulări periodice și actualizat în funcție de schimbările 
impuse de rezultatele simulărilor. 

Planul de continuitate trebuie să fie făcut cunoscut personalului implicat în procesele IT. 


Conţinutul unui plan de continuitate poate varia în funcție de circumstanțe, dar, în 
general, include următoarele secțiuni: secțiunea administrativă, contracte suport, operarea 
calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesară 
recuperării și procedurile asociate, locaţia de back-up, identificarea locului unde sunt 
stocate arhivele cu suporţi tehnici care conțin salvările și procedura de obţinere a accesului 
la acestea, personalul implicat în procesul de recuperare în caz de dezastru (personal 
propriu sau extern), stabilirea sediului provizoriu (pentru cazul în care dezastrul a fost 
extensiv și a necesitat evacuări), revenirea la normal (lista detaliată a responsabilităților 
echipelor implicate în restabilirea condiţiilor normale de activitate). 


Tabelul 21 
Secțiunea Continuitatea sistemelor - B.5.4 
: “a E Documente Surse probe 
Direcţii de evaluare Obiective de control pro 
š de lucru de audit 
CONTINUITATEA SISTEMELOR 
ep ej a ca 
continuității i generaledi entru 
re Stabilirea resurselor IT critice Pen 
serviciilor ` continuitatea 
Intreținerea planului de continuitate IT 
IT 
Implementarea unui plan privind P lanul de 
asigurarea continuității activității conimurtate a 
entității şi, în particular, a activitapir 
operațiunilor IT 
Cadrul 
Testarea cu regularitate a planului de procedural 
continuitate. Periodicitate referitor la 
Instruirea privind planul de continuitatea 
continuitate IT IT 
Recuperarea şi reluarea serviciilor IT 
Stocarea externă a copiilor de 
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Documente Surse probe 


Direcţii de evaluare Obiective de control ă 
a de lucru de audit 


siguranță 


Revizia post-reluare 


Auditorul va examina procedurile și controalele privind la cadrul de referință pentru 
continuitatea IT, la existența, implementarea, urmărirea și testarea cu regularitate a 
planului privind asigurarea continuității activității entității și, în particular, a operațiunilor 
IT. 


B.5.5 Managementul operatiunilor IT 


Procesarea completă şi exactă a datelor necesită un management eficient al procedurilor 
de prelucrare a datelor și o întreținere temeinică a hardware-ului. Acest proces include 
definirea politicilor de operare şi a procedurilor pentru gestionarea eficientă a 
prelucrărilor programate, protejând datele de ieșire sensibile, monitorizând performanța 
infrastructurii şi asigurând întreținerea preventivă a hardware-ului. Gestionarea eficientă 
a operaţiunilor ajută la menţinerea integrității datelor și reduce întârzierile şi costurile de 
exploatare IT. 


Procedurile operaţionale IT furnizează asigurarea că sistemele de aplicaţii sunt disponibile 
la momentele programate, operează în concordanță cu cerinţele, iar rezultatele 
prelucrărilor sunt produse la timp. 


Controalele operaționale reduc riscurile adoptării unor practici de lucru 
necorespunzătoare într-un departament IT. Practicile de lucru necorespunzătoare pot 
afecta auditul financiar întrucât utilizarea calculatorului constituie baza pentru întocmirea 
situaţiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a 
rula programe neautorizate şi a efectua modificări ale datelor financiare. Operarea pe 
calculator trebuie să asigure o procesare exactă, corespunzătoare a datelor financiare. 
Controlul neadecvat asupra operatorilor la calculator creşte riscul acțiunilor neautorizate. 
Operatorii nesupravegheaţi pot face uz de utilităţile sistemului pentru a efectua modificări 
neautorizate ale datelor financiare. 

Experiența şi pregătirea neadecvată a personalului mărește riscul comiterii de greşeli în 
departamentul IT. Greşelile pot conduce la orice efect, de la căderea sistemului, până la 
ştergerea datelor unei perioade. 

Întreţinerea neadecvată a echipamentului informatic poate cauza probleme de 
disponibilitate a aplicaţiilor, iar disfuncțiile sistemului pot conduce la date eronate. 
Registrele de procesare pot reduce riscurile unei activități neautorizate. Pot fi utilizate de 
asemenea pentru determinarea extensiei erorilor de procesare. 

Documentaţia slabă sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea 
sistemului, pierderea integrităţii datelor sau întârzieri în recuperarea acestora după 
eliminarea defectelor din sistem. 
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Secțiunea Continuitatea sistemelor - B.5.5 


Tabelul 22 


actualizarea procedurilor 
operaționale IT 


Protecţia împotriva viruşilor 


Implementarea unei proceduri 
privind utilizarea unei soluții 
antivirus care să ofere asigurarea 
privind: 


e Aplicarea soluţiei antivirus 
tuturor serverelor și stațiilor 
de lucru; 

e Actualizarea fișierului de 
definiții antivirus 

e  Interdicţia dezactivării 
software-ul antivirus de către 
utilizatori la staţia lor de 
lucru; 

e Software-ul antivirus scanează 
toate fişierele (pe server și 
stațiile de lucru) automat în 
mod periodic 


: SE EEA Documente Surse probe 
Direcţii de evaluare Obiective de control zi vila 
i de lucru de audit 
CONTINUITATEA SISTEMELOR 
Managementul Proceduri operaţionale IT LV Controale P lanul de 
operațiunilor IT Implementarea unui cadru procedural | generale IT o j 
care să conțină următoarele proceduri e ue 
operaționale: 
pera; Cadrul 
- Proceduri la început de zi / sfârșit procedural 
de zi, dacă e cazul pentru 
- Proceduri de recuperare sau managementul 
restaurare aaa Lui 
- Instalare de software și hardware 
- Raportarea incidentelor Procedura 
privind 
- Rezolvarea problemelor utilizarea unei 
3 | | soluții 
Stabilirea unui responsabil cu antivirüs 


Auditorul va examina procedurile și modul de implementare a controalelor privind 
operațiunile IT: existenta unui manager de rețea, existența unui acord privind nivelul de 
servicii între departamentul informatică și restul organizaţiei, respectiv cu utilizatorii 
sistemului (care să acopere disponibilitatea serviciilor, standardele de servicii etc.), existența 
unor proceduri și măsuri de supraveghere a personalului de operare a calculatoarelor și 
care asigură suport tehnic, pregătirea și experiența personalului de operare, modalitatea și 
calitatea întreţinerii calculatoarelor (întreţinere prin mijloace poprii sau de către furnizori 
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externi), existența, utilizarea și monitorizarea jurnalelor de operaţii (pentru a detecta 
activităţi neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilităților 
sistemului de operare), documentarea adecvată a procedurilor (proceduri de supraveghere, 
proceduri de procesare, proceduri de operare, managementul incidentelor, managementul 
suporților de memorare (benzi, discuri, CD, DVD). 

Auditorul va examina soluţia de implementare a protecţiei antivirus . 


B.5.6 Managementul configuraţiilor IT 


Managementul configuraţiilor presupune asigurarea contextului hardware / software 
stabil care să susțină funcționalitatea continuă a sistemului informatic şi, implicit, 
activitățile entității auditate. Se verifică dacă este prevăzută şi este operațională 
menținerea configuraţiilor echipamentelor IT şi ale aplicaţiilor, în mod formal, în alte 
locaţii decât sediul sistemelor. 


Tabelul 23 
Secțiunea Continuitatea sistemelor - B.5.6 
Direcţii de evaluare Obiective de control Documents Surse probe 
i de lucru de audit 
CONTINUITATEA SISTEMELOR 
Managementul Mentinerea în mod formal a LV. Controale P lanul de 
configurațiilor IT configurațiilor echipamentelor IT și generale IT contmurtate a 
ale aplicațiilor, și în alte locații decât activității 
sistemele de producţie; Utilizarea 
unor măsuri de protecţie Cadrul 
procedural 
Implementarea unor proceduri care referitor la: 
să ofere asigurarea că sunt îndeplinite configurații, 
următoarele condiţii: documentaţia 
-  Configurațţiile sunt actualizate, tehnică de 
comprehensive şi complete; instalare / 
- Manualele de uniaan, 
instalare/utilizare sunt n 
actualizate în concordanță cu versiunilor ; 
ultima versiune de sistem; programelor i 
documentaţiei, 
- Se realizează o gestiunea personalul 
versiunilor programelor şi utilizator 
documentației, iar personalul 
utilizator ştie care sunt cele 
mai noi versiuni ale 
programelor şi ale 
documentației 


Auditorul va examina procedurile și controalele privind existența și implementarea 
procedurilor specifice managementului configurațiilor: 
e Mentinerea în mod formal a configurațiilor echipamentelor IT și ale aplicațiilor și în 
alte locaţii decât sediul sistemelor de producție; utilizarea unor măsuri de protecţie; 
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e Implementarea unor proceduri care să ofere asigurarea că sunt îndeplinite condiţiile 
referitoare la: configurații, documentația tehnică de instalare / utilizare, gestiunea 
versiunilor programelor și documentaţiei, personalul utilizator. 


PROCEDURA B6 - Externalizarea serviciilor IT 


Nevoia de siguranţă că serviciile de la terți (furnizori, vânzători și parteneri) satisfac 
cerințele afacerii implică un proces efectiv de management al părții terțe. Acest proces 
este realizat prin definirea clară a rolurilor, reponsabilităților și așteptărilor în acordurile 
cu părțile terțe, precum și prin revizuirea şi monitorizarea acestor acorduri în vedera 
asigurării eficacității şi conformităţii. Managementul efectiv al serviciilor de la terți 
minimizează riscul afacerii asociat furnizorilor neperformanți. 


Având în vedere că activitatea IT nu este activitatea principală într-o entitate și că 
managementul se concentrează în primul rând pe obiectivele afacerii, tendința principală 
privind asigurarea serviciilor IT este de a utiliza furnizori externi de servicii IT, soluţie 
care în majoritatea cazurilor contribuie şi la reducerea costurilor. 

Necesitatea unor colaborări, a furnizării unor servicii de tehnologia informaţiei (Internet, 
instruire, asistență tehnică, întreținere, etc.) determină externalizarea acestor activități 
prin încheierea de contracte semnate cu furnizorii acestor servicii. Având în vedere că 
astfel de relații contractuale sunt purtătoare de riscuri (atât sub aspect valoric, cât şi la 
nivelul funcționalității şi securităţii sistemului), auditorul trebuie să evalueze implicaţiile 
ce decurg din clauzele contractuale privind confidenţialitatea, formele de asigurare a 
suportului şi asistenței tehnice, valorile contractuale pentru asistență tehnică și 


întreținere, dependenţa față de furnizor, ținând seama de natura serviciilor. 
Tabelul 24 
Externalizarea serviciilor IT - B6 


Documente Surse probe 


Direcţii de evaluare Obiective de control š 
i de lucru de audit 

EXTERNALIZAREA SERVICIILOR IT 

Externalizarea Există o politică de externalizare a IV Controale Politică de 

serviciilor IT activităților IT (existența unor generale IT externalizare a 
colaboratori, furnizori de servicii IT, activităților IT 
etc.) bazată pe: identificarea relațiilor 
cu toți furnizorii, managementul Contractele cu 
relațiilor cu furnizorii, managementul furnizorii IT 


riscului asociat furnizorilor 
Rapoarte de 


Includerea de clauze de tip SLA 
evaluare 


(Service Level Agreement) în 
contractele cu furnizorii de servicii 


Includerea clauzelor de 
confidentțialitate în contractele cu 
furnizorii de servicii 


Este monitorizată performanța 
furnizorului 


Se efectuează o analiză privind nivelul 
de dependență față de furnizor 
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Auditorul va examina în primul rând politicile și procedurile care asigură securitatea 
datelor entității. Clauzele existente în contractele semnate cu furnizorii oferă o primă 
imagine privind eventualitatea apariţiei unor riscuri în cazul neincluderii unor controale 
adecvate. 

De asemenea, auditorul va evalua politica de externalizare a activităţilor IT, precum și 
modul în care organizaţia monitorizează prestația furnizorilor externi de servicii, atât în 
ceea ce privește aspectele legate de securitate, cât și cele legate de calitatea serviciilor. 
Monitorizarea neadecvată mărește riscul ca procesarea inexactă sau incompletă să rămână 
nedetectată. 

Examinarea contractelor de prestări servicii va acoperi toate problemele importante: 
performanța (SLAs), securitatea, proprietatea asupra datelor, accesul la datele clientului, 
disponibilitatea serviciului, planificarea pentru situaţiile de urgență. 

Auditorul trebuie să obțină asigurarea că furnizorul extern de servicii IT a realizat o 
procesare exactă și completă. Auditorul va putea obţine asigurarea prin inspecţie personală 
sau prin obținerea asigurării unei terţe părți independente. 


PROCEDURA B7 - Managementul schimbării și al dezvoltării de sistem 


Managementul schimbării şi al dezvoltării sistemului are ca obiectiv important 
implementarea unor politici, proceduri şi controale în scopul asigurării că sistemele sunt 
disponibile când sunt necesare, funcționează conform cerinţelor, sunt fiabile, controlabile 
şi necostisitoare, au un control sigur al integrităţii datelor şi satisfac nevoile utilizatorilor. 


Controalele schimbării sunt necesare pentru a asigura continuitatea sistemului în 
conformitate cu cerințele impuse și pot varia considerabil de la un tip de sistem la altul. 


Când este evaluat acest domeniu, se pun următoarele întrebări: 

+ Dacă există perspective ca noile proiecte să ofere soluţii care să răspundă nevoilor 
afacerii; 

+ Dacă noile proiecte au șanse să fie duse la bun sfărșit, în timpul și cu bugetul 
prevăzute; 

+ Dacă noile sisteme vor funcţiona după implementare; 

+ Dacă este posibil ca schimbările să aibă loc fără a perturba activitățile curente ale 
afacerii/organizaţiei. 


Schimbările se referă la hardware (calculatoare, periferice, reţele), la software (sisteme de 
operare, utilitare) și la aplicaţiile individuale. Scara schimbărilor poate diferi considerabil: 
de la proceduri aferente unor funcții dedicate, la instalarea unor versiuni noi de aplicaţii 
sau sisteme de operare. Indiferent de mărimea sau scara schimbărilor, efectele asupra 
operării sistemului trebuie să fie minime pentru a nu perturba activitatea curentă a 
entității. 


Controalele managementului schimbărilor sunt implementate pentru a se asigura că 
modificările aduse unui sistem informatic sunt corespunzător autorizate, testate, 
acceptate și documentate. Controalele slabe pot antrena din schimbări care pot conduce la 
modificări accidentale sau de rea credință aduse programelor și datelor. Schimbările de 
sistem insuficient pregătite pot altera informaţiile financiare și pot întrerupe parcursul de 
audit. 


Schimbarea sistemului presupune procurarea resurselor. Resursele IT, incluzând 
echipamente hardware, software, servicii şi personal, trebuie să fie achiziționate. Acest 
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lucru necesită definirea şi punerea în aplicare a procedurilor de achiziţii, selectarea 
distribuitorilor, configurarea aranjamentelor contractuale, precum și achiziția în sine. Se 
asigură astfel obținerea de către organizaţie a tuturor resursele IT într-un timp util și în 
mod eficient. 


Toate schimbările, incluzând cele de întreţinere urgentă și pachetele, referitoare la 
infrastructura şi aplicaţiile din mediul de producție sunt administrate formal şi într-o 
manieră controlată. Schimbările (inclusiv acelea ale procedurilor, proceselor, sistemelor și 
parametrilor de servicii) sunt înregistrate, evaluate şi autorizate înainte de implementare 
şi revizuite în comparaţie cu rezultatul așteptat după implementare. Aceasta asigură 
reducerea riscurilor care afectează stabilitatea şi integritatea mediului de producţie. 


Noile sisteme trebuie să devină operaționale odată ce dezvoltarea lor este completă. De 
aceea, sunt necesare următoarele: testare adecvată într-un mediu dedicat, cu date de test 
relevante; definirea instrucţiunilor de distribuţie şi migrare; planificarea pachetelor de 
distribuţie şi promovarea în producţie, precum şi o revizuire post-implementare. Astfel se 
asigură că sistemele operaţionale răspund așteptărilor și rezultatelor agreate. 


Aplicațiile sunt puse la dispoziție în conformitate cu cerințele afacerii. Acest proces ia în 
considerare arhitectura aplicaţiilor, includerea corectă a cerințelor de control și securitate 
ale aplicației precum și dezvoltarea și configurarea în conformitate cu standardele. Acest 
proces permite organizațiilor să susțină în mod corespunzător operațiunile economice cu 
ajutorul aplicațiilor automatizate potrivite. 


Organizațiile au procese pentru achiziția, implementarea și actualizarea infrastructurii 
tehnologice. Aceasta necesită o abordare planificată pentru achiziția, întreținerea şi 
protecţia infrastructurii, în conformitate cu strategiile tehnologice agreate şi pregătirea 
mediilor de dezvoltare și testare. Acest proces asigură existența unui suport tehnic 
continuu pentru aplicațiile economice. 
Tabelul 25 
Secțiunea Managementul schimbării și al dezvoltării de sistem - B7 


Documente Surse probe 


Direcţii de evaluare Obiective de control 5 
z de lucru de audit 


MANAGEMENTUL SCHIMBĂRII ȘI AL DEZVOLTĂRII DE SISTEM 


Implementarea unor politici, 


Politici privind ai 3 
proceduri şi controale în scopul 


LV. Controale | Politici privind 


schimbarea sau schimbarea 
dezvoltarea asigurării că sistemele sunt generale IT dezvoltare - 
sistemului şi disponibile când sunt necesare, sistemuülüisi 
procedurile funcționează conform cerințelor, sunt rócedüril i 
asociate fiabile, controlabile şi necostisitoare, i šočiatė 
au un control sigur al integrității 
datelor și satisfac nevoile Standardele și 
utilizatorilor procedurile 
Managementul schimbării pentru 
proceselor afacerii schimbare 


- Inițierea modificării sau dezvoltării 
sistemului IT, 

- Alocarea corectă a investițiilor în 
hardware, software și servicii IT, Rapoarte de 
- Asigurarea că se realizează evaluare 


Contractele cu 
furnizorii IT 
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Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


armonizarea necesităților afacerii cu 
schimbările IT, 

- Documentarea procedurilor şi a 
activităților (formular pentru cereri, 
- Evidenţa modificărilor efectuate) şi 
competențele de aprobare 


Managementul schimbărilor tehnice 
- Integrarea de componente noi, 

- Înlocuirea unor componente, 

- Schimbarea versiunii sistemului 

- Implementarea schimbărilor tehnice 
în mediul de test, de producție, de 
dezvoltare 

- Implementarea modificărilor 
solicitate în regim de urgență 


Metodologia de dezvoltare 

- Procedurile trebuie să se aplice într- 
un mod consistent tuturor proiectelor 
de dezvoltare, având ataşate și cazuri 
predefinite de testare. Lipsa unei 
metodologii de dezvoltare a 
proiectelor implică un risc ridicat 
asupra sistemului 


Managementul proiectelor 

- Metodologia de management al 
proiectelor utilizată, 

- Existenţa procedurilor specifice 
proiectelor IT, 

- Monitorizarea periodică a stadiului 
proiectelor IT 


Implicarea utilizatorilor în etapele 
procesului de dezvoltare a 
proiectului 

- Specificarea cerințelor, 

- Testarea programelor, 

- Acceptarea sistemului, 

- Instruirea personalului, 

- Elaborarea documentaţiei, etc.. 


Managementul calităţii 

- Are un impact semnificativ asupra 
componentelor informatice 
dezvoltate, asupra sistemului în 
general şi, implicit, asupra activităţii 
entității 

Documentarea procedurilor și a 
funcționării sistemului 

- Facilitatea operării de către 
utilizatori la nivel de aplicaţie, cât şi 
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Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


pentru asigurarea funcționalității la 
nivel de sistem. Existenţa manualelor 
de utilizare reprezintă o cerință 
minimală 


Implementarea unor proceduri de 
control al schimbării 

- Proceduri privind autorizarea de 
către management; 

- Testarea software-ului modificat 
înainte de a fi utilizat în mediul de 
producţie; 

- Examinări din partea 
managementului ale efectelor 
schimbărilor; 

- Întreţinerea unor evidențe adecvate; 
- Pregătirea unui plan de recuperare, 
chiar dacă sistemul funcționează 
corect; 

- Elaborarea şi implementarea 
procedurilor de control privind 
schimbările de urgență 

- Procedurile de control al versiunilor 
utilizează pe scară largă instrumente 
automate de control al versiunilor 
pentru a înregistra schimbările 
succesive efectuate asupra 
programelor sursă; 

- Proceduri pentru migrarea datelor în 
noul sistem; 

- Actualizarea documentaţiei în 
concordanță cu schimbările operate 


Efectuarea unei analize cu privire 
la efectele schimbării, pentru a 
determina: 

e Dacă schimbarea s-a finalizat cu 
rezultatele planificate; 

e Dacă utilizatorii sunt mulțumiți 
în ceea ce priveşte modificarea 
produsului; 

e Dacă au apărut probleme sau 
efecte neaşteptate; 

e Dacă resursele cerute pentru 
implementarea şi operarea 
sistemului actualizat au fost cele 
planificate 


Implementarea unor controale 
specifice care să stabilească: 

- Cine iniţiază modificarea sau 
dezvoltarea aplicaţiilor 

- Dacă există un formular pentru 


Pag. 79 din 180 


Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


cereri şi cine trebuie să îl aprobe 

- Dacă există o procedură pentru a se 
asigura că investiţiile în hardware, 
software şi servicii IT sunt evaluate 
corespunzător 

- Dacă au fost adoptate metodologii şi 
instrumente standard pentru 
dezvoltarea unor aplicaţii pe plan 
local şi dacă utilizarea acestei 
metodologii este transpusă în 
proceduri documentate 

- Cum se asigură conducerea de 
armonizarea necesităților activității 
cu schimbările IT 

- Dacă există o evidenţă a tuturor 
modificărilor efectuate 

- Dacă există o separație a mediilor de 
producţie (operaţional), de test și de 
dezvoltare 

- Dacă există o procedură de 
implementare a schimbărilor tehnice 
în mediul operaţional 

- Dacă sunt permise în cadrul 
instituției modificările de urgență 

- Dacă există o etapizare privind 
documentarea, abordarea 
retrospectivă, testarea 

- Cine inițiază, cine aprobă, cine 
efectuează, cine monitorizează aceste 
modificări 

- Dacă există o evidenţă clară a acestor 
modificări 

- Dacă se testează modificările de 
urgență 

- Dacă sunt stabilite măsuri de control 
pentru ca numai modificările 
autorizate să fie transferate din 
mediul de test în cel de producție 


Procurarea 
resurselor 


Instalarea şi 
acreditarea 
soluţiilor şi 
schimbărilor 


Este implementat un cadru de control 
al achiziţiilor, se realizează 
managementul contractelor cu 
furnizorii, există politici pentru 
selectarea furnizorilor și 
achiziționarea resurselor 


Instruirea pesonalului pentru 
utilizarea noului sistem 


Au fost elaborate documente privind: 


LV. Controale 
generale IT 


LV. Controale 
generale IT 


Cadrul de 
control al 
achiziţiilor 
Contractele cu 
furnizorii 


Politici şi 


proceduri 


Program de 
instruire 
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Direcţii de evaluare 


Obiective de control 


Documente 
de lucru 


Surse probe 
de audit 


Planul de testare, Planul de 


Plan de testare 


implementare 
Plan de 
Există proceduri privind: mediul de implementare 
test, conversia sistemului și a datelor, | 
testarea schimbărilor, testul final de Proceduri 
acceptare, promovarea în producţie, 
revizia post-implementare 
Achiziţia şi A fost asigurat cadrul pentru a LV Controale Proiecte 
întreținerea desfăşurarea următoarelor activități enerale IT Cadrul de 
aplicațiilor software | şi satisfacerea următoarelor cerințe: g securitate 
- Proiectarea de nivel înalt 
- Proiectarea detaliată Cadrul 
- Controlul și auditabilitatea procedural 


aplicaţiilor 
i as Dau Contractele cu 
- Securitatea şi disponibilitatea Ss 
woy furnizorii 
aplicațiilor 


- Configurarea şi implementarea 


Politici şi 


aplicaţiilor software achiziționate proceduri 
- Actualizări majore ale sistemelor 
existente Documentații 
- Dezvoltarea aplicaţiilor software tehnice 
- Asigurarea calităţii software 
- Managementul cerinţelor 
aplicaţiilor 
-  Întreţinerea aplicaţiilor software 
Achiziţia şi A fost asigurat cadrul pentru a LV Gauthoale Planul de 
întreţinerea desfăşurarea următoarelor activități enerale IT achiziție a 
infrastructurii şi satisfacerea următoarelor cerințe: 9 infrastructurii 
tehnologice - Planul de achiziţie a infrastructurii tehnologice 
tehnologice 
- Protecția și disponibilitatea Contracte 
resurselor infrastructurii D tatii 
-  Întreţinerea infrastructurii ERA ia 
tehnice 


- Mediul de testare a fezabilităţii 


Detalii teoretice referitoare la PROCEDURA B7 se regăsesc în Manualul de audit al 
sistemelor informatice (CCR, 2012). 


Auditorul va examina următoarele aspecte: 


e Politicile și procedurile de autorizare existente pentru modificarea aplicațiilor 
financiare: cine autorizează modificările, dacă se folosesc studii de fezabilitate 
pentru a determina impactul potențial al modificărilor, cum este monitorizată și 
analizată derularea proiectului de către conducere, reacţiile generate, metodologii și 
instrumente standard de dezvoltare adoptate, documentatii referitoare la modificare, 
analiza post-modificare; 
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e Modul de gestionare a următoarelor categorii de actuivităţi: procurarea resurselor, 
instalarea și acreditarea soluţiilor și schimbărilor, achiziţia și întreţinerea aplicațiilor 
software, achiziția și întreţinerea infrastructurii tehnologice; 

e În ce măsură sunt testate actualizările sistemului şi ale aplicaţiei înainte de 
transferul în mediul operaţional (de producție); 


e Dacă procedurile de testare sunt adecvate, independente și documentate; 

e Implicarea utilizatorilor în testarea dezvoltării, achiziţiei și recepţiei sistemelor 
informatice; 

e Dacă evidenţele modificărilor sunt la zi, cuprinzătoare și complete; 


e Dacă manualele de utilizare sunt actualizate și este disponibilă cea mai recentă 
versiune a documentaţiei; 


e Efectuarea modificărilor de urgenţă; 


e Controale existente pentru a asigura că numai modificările autorizate sunt 
transferate din mediul de testare în mediul de producție; 


e Modul de tratare a deficiențele de funcţionare a software-ului și a problemelor 
utilizatorilor (funcţie help-desk, statistici help-desk disponibile, rezolvarea practică a 
incidentelor); 


e Controale pentru prevenirea accesului persoanelor neautorizate la programele din 
biblioteca sursa de programe pentru a face modificări. 


PROCEDURA B8 - Auditul intern IT 


Responsabilitatea managementului privind implementarea sistemului de controale 
interne se reflectă în politicile și procedurile implementate. Asigurarea că sistemul de 
controale este implementat corespunzător și reduce în mod rezonabil riscurile identificate 
este furnizată de auditorii interni care examinează politicile, procedurile și controalele 
implementate și efectele funcționării acestora asupra activităţii entității. 


Auditorii externi privesc funcția de audit intern a entității ca fiind o parte din structura 
generală de control a acesteia, o evaluează și formulează o opinie privind încrederea în 
activitatea auditului intern. 


De asemenea, auditorii externi evaluează dacă personalul din structura de audit intern 
este capabil să efectueze evaluări competente ale sistemului de calcul al entității, dacă 
utilizează metodologii sau standarde de audit IT adecvate. 


Structura mediului de control IT al unei entități conţine controale specifice IT care se 
referă la următoarele categorii de elemente: 
e Mediul controalelor generale: include controalele asociate politicilor de 
nivel înalt, valorilor etice, culturii afacerii și resurselor umane. 
e Evaluarea riscurilor: presupune evaluarea amenințărilor, vulnerabilităților și 
a impactului acestora asupra afacerii. 
e Informatie și comunicaţii: constau în controale care permit personalului să 
primească şi să controleze informațiile legate de afacere. 
e Activităţi de control: asigură că afacerea continuă să opereze în maniera 
aşteptată de managementul de vârf. 
e Monitorizare: asigură că politicile și procedurile continuă să funcționeze şi 
sunt adecvate. 
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Tabelul 26 


Secţiunea Auditul Intern - B8 


Direcţii de evaluare Obiective de control Vorumente Surse probe 
i de lucru de audit 

AUDIT INTERN IT 

Audit intern IT Modul în care se reflectă preocuparea | Ly Controale Planul de audit 


pentru auditarea infrastructurii IT, în | generale IT intern 


planificarea acţiunilor de audit intern 


ale entității Rapoarte de 


audit 
Măsurile întreprinse pentru 
asigurarea funcția de audit intern Metodologia 
privind domeniul IT în cadrul pentru audit 
instituției IT 


Pregătirea profesională a auditorilor 
interni în domeniul IT 


Metodologia pentru audit IT folosită 
de auditorii interni 


Ritmicitatea elaborării unor rapoarte 
de audit IT. Modul de valorificare a 
constatărilor 


Auditul intern trebuie să se concentreze asupra existenţei și eficacităţii controalelor 
specializate IT pentru toate categoriile menţionate mai sus, în concordanță cu specificul 
activităţii și în scopul evitării expunerii afacerii la riscuri nejustificate. 

Specializarea unor auditori în domeniul auditului IT și utilizarea unor metodologii adecvate 
sau includerea unor experţi în domeniu în echipa de audit, în situaţii în care se justifică 
prezența acestora, reprezintă o cerință pentru evaluarea unor sisteme informatice 
complexe. 


2.3 Revizuirea controalelor aplicaţiei și evaluarea riscurilor 
asociate 


Secţiunile următoare se referă la problematica specifică aplicaţiilor informatice financiar- 
contabile, din perspectiva auditului. 


SCOP: Să consolideze cunoștințele privind sistemul informatic al entității auditate, obținute 
prin evaluarea controalelor generale aferente mediului informatizat, să permită auditorului 
financiar să identifice, să documenteze și să evalueze orice proceduri și controale care 
operează în cadrul fiecărei aplicaţii financiare, să permită auditorului să evalueze nivelul 
general al riscului de audit asociat fiecărei aplicaţii și să identifice riscurile specifice care pot 
influența realizarea conformităţii și riscurile asociate programelor informatice. 
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Cele mai importante obiective de control specifice aplicaţiilor? sunt: 


1. Pregătirea și autorizarea surselor de date: asigură faptul că documentele sursă sunt 
pregătite de personal autorizat şi calificat, folosind proceduri anterior stabilite, 
demonstrând o separare adecvată a îndatoririlor cu privire la generarea şi aprobarea 
acestor documente. Erorile și omisiunile pot fi minimizate printr-o bună proiectare a 
intrărilor. Detectează erorile și neregulile spre a fi raportate şi corectate. 

2. Colectarea surselor de date si introducerea în sistem: stabileşte faptul că intrările (datele 
de intrare) au loc la timp, fiind făcute de către personal autorizat şi calificat. Corectarea și 
retrimiterea datelor care au intrat în sistem în mod eronat trebuie să aibă loc fără a trece 
peste nivelurile iniţiale de autorizare privind tranzacţiile (intrările). Când este nevoie să 
se reconstituie intrarea, trebuie reținută sursa inițială pentru o perioadă suficientă de 
timp. 

3. Verificări privind: acurateţea, completitudinea și autenticitatea: asigură faptul că 
tranzacţiile sunt precise (exacte), complete și valabile. Validează datele introduse și le 
editează sau le trimite înapoi spre a fi corectate cât mai aproape posibil de punctul de 
provenienţă. 

4. Integritatea și validitatea procesului: menţine integritatea şi validitatea datelor de-a 
lungul ciclului de procesare. Detectarea tranzacţiilor compromise din punct de vedere al 
erorilor nu întrerupe procesarea tranzacţiilor valide. 

5. Revizuirea rezultatelor, reconcilierea și tratarea erorilor: stabileşte procedurile şi 
responsabilităţile asociate pentru a asigura că rezultatul este utilizat într-o manieră 
autorizată, distribuit destinatarului potrivit şi protejat în timpul transmiterii sale, precum 
şi faptul că se produc: verificarea, detectarea şi corectarea exactității rezultatului şi că 
informaţia oferită în rezultatul procesării este utilizată. 

6. Autentificarea și integritatea tranzacţiilor: înainte de a transmite datele tranzacţiei de la 
aplicaţiile interne către funcţiile operaționale ale afacerii (sau către exteriorul 
organizaţiei), trebuie verificate: destinația, autenticitatea sursei şi integritatea 
conținutului. Menţine autenticitatea şi integritatea transmiterii sau ale transportului. 


Pentru evaluarea controalelor de aplicaţie se utilizează Lista de verificare privind 
evaluarea controalelor de aplicaţie. 

Aspectele teoretice referitoare la evaluarea riscurilor sunt tratate în Capitolul 4. Pentru 
evaluarea riscurilor se utilizează Lista de verificare privind evaluarea riscurilor (Anexa 4. 


PROCEDURA CA1 - Înțelegerea sistemului informatic financiar - contabil 


Auditorul trebuie să înțeleagă toate etapele pe care le parcurg tranzacţiile, de la inițiere şi 
până la reflectarea lor în situațiile financiare. În foarte multe cazuri, când activitatea este 
parțial informatizată, aplicaţiile informatice reflectă parţial fluxul unei tranzacţii, 
prelucrarea fiind completată prin proceduri manuale. În acest context, auditorul este cel 
care trebuie să reconstituie parcursul tranzacţiei, de la iniţiere până la includerea în 
situaţiile financiare. 


In cadrul evaluării aplicaţiilor, auditorul trebuie să identifice toate echipamentele 
informatice asociate mediului IT implicate în introducerea, prelucrarea, stocarea sau 
producerea rezultatelor de ieşire aferente sistemului informatic financiar-contabil. 


7 Conform cadrului de lucru COBIT 
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De asemenea, va identifica toate aplicaţiile IT care contribuie la obţinerea situațiilor 
financiare. 


Pentru fiecare aplicaţie financiară auditorul trebuie să prezinte în documentele de lucru, 
sub forma de schemă logică sau descriptivă, următoarele elemente: 


+ interfețele dintre operaţiile manuale și operaţiile informatizate; 

+ echipamentele și aplicaţiile informatice care contribuie la obținerea situațiilor 
financiare verificate; 

+ valoarea și volumul tranzacţiilor procesate de fiecare aplicaţie; 

+ modulele de introducere, prelucrare, ieşire şi stocare ale aplicaţiilor relevante; 

+ fluxul tranzacţiilor de la inițierea tranzacţiei până la reflectarea acestora în 
situaţiile financiare. 


Creşterea gradului de complexitate a sistemelor informatice prin integrarea aplicaţiilor la 
nivelul sistemului informatic al entității, permite procesarea mai multor tipuri de 
tranzacții, provenind din aplicaţii diferite: aplicaţii care procesează tranzacții privind 
veniturile, tranzacţii de cheltuieli, state de plată lunare, evidența stocurilor, costul 
lucrărilor și activele fixe şi altele. Este deci posibil ca o aplicaţie să proceseze tranzacții din 
zone contabile diferite. 


La definirea zonelor contabile, auditorul va trebui să identifice fluxul principal de 
tranzacţii din fiecare aplicație și să reconstituie parcursul prelucrării în funcție de 
aplicația analizată. De asemenea, trebuie să detecteze şi să reconstituie fluxurile care apar 
în situația transferului de informaţii între aplicaţii. 


Tabelul 27 
Descrierea aplicaţiei 
Cod Controale de | Documente de 
procedură aplicaţie lucru Revizuiri / Teste 
CA1 Descrierea LV Controale Funcţiile pe care le realizează aplicaţia 
aplicaţiei Aplicație 


Arhitectura aplicaţiei (platforma hardware / 
software, produsele software de tip 
instrument, sistemul de gestiune a bazelor de 
date, sistemul de comunicaţie) 


Desemnarea administratorului aplicaţiei 


Care este numărul utilizatorilor? Cine sunt 
utilizatorii? 


Volumul și valoarea tranzacţiilor procesate 
lunar de aplicaţia financiar contabilă 


Puncte slabe sau probleme cunoscute 


Auditorul trebuie să evalueze riscul de audit în cadrul fiecărui proces, utilizând următorii 
trei factori: 

(a) amenințările la adresa integrităţii și disponibilității informațiilor financiare; 

(b) vulnerabilitatea informaţiilor financiare la amenințările identificate; 

(c) impactul posibil în ceea ce privește obiectivele auditului. 
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Auditorul va colecta informaţii referitoare la aplicaţia financiar-contabilă: descrierea 
aplicaţiei, funcţiile pe care le realizează aplicaţia, arhitectura aplicației (platforma 
hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de 
date, sistemul de comunicaţie), proprietarul aplicaţiei, administratorul aplicației, numărul 
utilizatorilor aplicaţiei și cine sunt aceștia, volumul și valoarea tranzacţiilor procesate lunar 
de aplicaţia financiar-contabilă, puncte slabe sau probleme cunoscute. 


PROCEDURA CA2 - Posibilitatea de efectuare a auditului 


Posibilitatea efectuării auditului pe baza sistemului informatic financiar-contabil depinde 
de posibilitatea colectării unor probe suficiente și competente, pentru efectuarea 
auditului. 


Tabelul 28 
Posibilitatea de efectuare a auditului 
Cod Controale de | Documente de 
procedură aplicaţie lucru Revizuiri / Teste 
CA2 Posibilitatea | LV Controale Evidenţele tranzacţiilor să fie stocate și să fie 
de efectuare | Aplicaţie complete pentru întreaga perioadă de raportare 


a auditului | i | a a o. 
Evidenţierea unei tranzacţii să conțină suficiente 


informații pentru a stabili un parcurs de audit 


Totalurile tranzacţiilor să se regăsească în 
situațiile financiare 


Dacă oricare dintre aceste revizuiri nu primeşte un răspuns afirmativ, auditorul, pe baza 
raționamentului profesional, trebuie să decidă dacă sistemul informatic oferă încredere în 
situaţiile financiare generate de acest sistem. În condiţiile în care concluzia auditorului 
este că nu poate avea încredere în sistemul informatic, auditorul trebuie să analizeze ce 
măsuri trebuie luate pentru a continua misiunea de audit financiar. 


Auditorul trebuie să constate dacă există evidențe contabile alternative manuale și dacă este 
posibil să se efectueze auditul pe baza acestora (pe lângă sistemul informatic). 


PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) 


Tehnicile de auditare asistată de calculator utilizate cel mai frecvent în auditul financiar se 
împart în două categorii: 


(a) tehnici pentru regăsirea datelor 


e prin interogarea fișierelor de date; 
e prin utilizarea unor module de audit incluse în sistemul informatic auditat. 


(b) tehnici pentru verificarea controalelor sistemului 
e utilizarea datelor de test; 


e utilizarea facilităților de testare integrate; 
e simulare paralelă; 
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e compararea codului programului; 
e revizuirea codului programului. 


Tabelul 29 
Utilizarea tehnicilor de audit asistat de calculator (CAAT) 
Cod Controale de | Documente de 

procedură aplicaţie lucru Revizuiri / Teste 

CA3 Utilizarea LV Controale Identificarea informaţiilor care vor fi necesare 
tehnicilor de | Aplicație pentru prelucrare în scopul obținerii probelor de 
audit asistat audit 
de calculator 
(CAAT) Obţinerea datelor într-un format adecvat pentru 


a fi prelucrate 


Stocarea datelor într-o structură care să permită 
prelucrările impuse de necesitățile auditului 


Obţinerea asigurării privind versiunea de 
programe utilizată și corectitudinea surselor de 
date 


Înțelegerea modului în care operează sistemul 
(identificarea fişierelor care conțin datele de 
interes şi a structurii acestora) 


Cunoaşterea structurii înregistrărilor, pentru a 
le putea descrie în programul de interogare 


Formularea interogărilor asupra fişierelor/ 
bazelor de date 


Cunoaşterea modului de operare a sistemului 


Determinarea criteriilor de selecţie a 
înregistrărilor în funcție de metoda de 
eşantionare şi de tipurile de prelucrări 


Interogarea sistemului şi obținerea probelor de 
audit. Trebuie adoptată cea mai adecvată formă 
de prezentare a rezultatelor 


Datele trebuie să fie furnizate într-o formă care să permită utilizarea lor în mod direct de 
către programul de audit asistat de calculator sau într-un format standard compatibil cu 
versiunea sofware utilizată de auditor (fișiere Windows, Lotus, Excel, mdb, text cu 
separatori, etc.); 


Datele trebuie să fie furnizate în format electronic, pentru a permite importul direct în 
baza de date a auditorului, pe suport magnetic, optic sau prin rețea (Internet, intranet). In 
toate cazurile trebuie analizate implicaţiile infectării cu viruși. 


In cazul auditului financiar, sunt oferite facilități specifice pentru prelucrarea și analiza 
unor colecții mari de date, prin efectuarea unor teste și utilizarea unor proceduri 
adecvate, cum ar fi: 
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e Teste ale detaliilor tranzacţiilor și soldurilor (recalcularea dobânzii, extragerea din 
înregistrările bazei de date a entității a facturilor care depăşesc o anumită valoare 
sau dată calendaristică sau care îndeplinesc alte condiţii); 

e Proceduri analitice (identificarea  neconcordanţelor sau a  fluctuațţiilor 
semnificative); 

e Teste ale controalelor generale (testarea setării sau a configurării sistemului de 
operare, verificarea faptului că versiunea programului folosit este versiunea 
aprobată de conducere); 

e Programe de eșantionare pentru extragerea datelor în vederea efectuării testelor 
de audit; 

e Teste ale controalelor aplicaţiilor (testarea conformităţii aplicației cu condiţiile 
impuse de legislaţia în vigoare); 

e Refacerea calculelor efectuate de sistemele contabile ale entității. 


Pentru a obține probe de audit de calitate și pentru efectuarea unor prelucrări adiționale, 
auditorul poate efectua investigații privind informațiile generate de calculator, prin 
utilizarea tehnicilor de audit asistat de calculator, în particular, utilizarea programului 
IDEA. 

Acest mod de lucru contribuie la creșterea performanței în efectuarea testelor de fond, prin 
aplicarea unor proceduri analitice automatizate, precum și a performanţei procedurilor de 
audit. 


Auditorul poate folosi testarea datelor pentru: 

e verificarea controalelor specifice în sistemele informatice, cum ar fi controale de 
acces la date, parole; 

e prelucrarea tranzacţiilor selectate dintre cele prelucrate de sistemul informatic sau 
create de auditor pentru a testa facilităţile aplicaţiilor informatice ale entității, 
separat de datele procesate în mod obișnuit de entitate; 

e prelucrarea tranzacţiilor de test în timpul execuţiei normale a programului de 
prelucrare, de către auditorul integrat în sistem ca fiind un utilizator fictiv. In acest 
caz, tranzacțiile de test trebuie să fie eliminate ulterior din înregistrările contabile 
ale entității. 


PROCEDURA CA4 - Determinarea răspunderii 


Pentru a determina răspunderea utilizatorilor în ceea ce priveşte operațiile efectuate 
asupra tranzacţiilor, sistemele informatice trebuie să fie capabile să identifice ce utilizator 
a efectuat o anumită operaţie și când. 


Tabelul 30 
Determinarea răspunderii 
Cod Controale de Documente se. 
procedură aplicaţie de lucru Revizuiri / Teste 
CA4 Determinarea LV Controale | Implementarea unor controale care identifică 
răspunderii Aplicaţie şi raportează acțiunile utilizatorilor şi 
înregistrează informațiile într-un registru de 


audit 


Conducerea examinează în mod regulat 
rapoartele de excepţii extrase din registrul de 
audit şi ia măsuri de urmărire ori de câte ori 
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Cod Controale de Documente ae. 
procedură aplicaţie de lucru Revizuiri / Teste 


sunt identificate discrepanțe 


Există controale adecvate pentru a asigura că 
personalul care introduce sau procesează 
tranzacţii nu poate să modifice şi înregistrările 
aferente activităţilor lor, înscrise în registrul de 
audit 


Integritatea registrelor de audit este asigurată 
prin criptarea datelor sau prin copierea 
registrului într-un director sau fişier protejat 


Auditorul va verifica dacă există controale adecvate pentru a asigura că personalul care 
introduce sau procesează tranzacţii nu poate să modifice și dacă sunt înregistrate 
activităților lor. 


PROCEDURA CA5 - Evaluarea documentaţiei aplicaţiei 


O bună documentaţie a aplicaţiei reduce riscul comiterii de greșeli de către utilizatori sau 
al depășirii atribuţiilor autorizate. Documentaţia trebuie să fie cuprinzătoare, actualizată 
la zi, pentru ca examinarea acesteia să ajute auditorul să obțină o înţelegere a modului în 
care funcționează fiecare aplicaţie şi să identifice riscurile particulare de audit. 
Documentaţia trebuie să includă: 


+ prezentarea generală a sistemului; 

+ specificatia cerințelor utilizatorului; 

+ descrierea și listingul programului sursă (după caz); 
+ descrierile intrărilor / ieșirilor; 

+ descrierea conținutului fișierelor; 

«e manualul utilizatorului; 

+ instrucțiuni de operare. 


Tabelul 31 
Documentaţia aplicaţiei 
Cod Controale de Documente 
procedură aplicaţie de lucru Revizuiri / Teste 
CA5 Documentaţia | LV Controale | Se va evalua: 
aplicaţiei Aplicaţie e dacă documentaţia aplicaţiei este 


adecvată, cuprinzătoare şi actualizată; 

e dacă personalul îndreptăţit are copii ale 
documentaţiei relevante sau acces la 
aceasta; 

e dacă există instrucțiuni de lucru pentru 
procedurile zilnice şi pentru rezolvarea 
unor probleme frecvente; 

e dacă se păstrează copii de rezervă ale 
documentației aplicaţiei în scopul 
recuperării după dezastru şi al reluării 
rapide a procesării. 
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Auditorul va evalua dacă documentaţia aplicației este adecvată, este cuprinzătoare și 
actualizată, dacă personalul îndreptățit are copii ale documentației relevante sau acces la 
aceasta, dacă există instrucțiuni de lucru pentru procedurile zilnice și pentru rezolvarea 
unor probleme frecvente, dacă se păstrează copii de rezervă ale documentației aplicaţiei în 
scopul recuperării după dezastru și al reluării rapide a procesării. 


PROCEDURA CA6 - Evaluarea securităţii aplicaţiei 


După evaluarea controalelor generale IT, auditorul va trebui să obțină o înţelegere a 
controalelor asupra accesului la calculatoarele pe care funcționează aplicaţiile, în 
condiţiile în care utilizatorii selectează o aplicație anume. O analiză a securității aplicaţiei 
ia în considerare controalele de acces ca fiind o fază anterioară operării aplicaţiei şi 
vizează modul în care sunt controlați utilizatorii când accesează o anumită aplicație. De 
exemplu, tot personalul din departamentul finanţe va avea acces, prin controalele 
sistemului, la aplicaţia financiară online. Pentru controlul accesului la diferite categorii de 
informaţii (la registrul de vânzări, la registrul de cumpărări, la statele de plată etc.) se 
introduc controalele de aplicaţie suplimentare care reglementează drepturile de acces la 
fiecare categorie în parte. 


Tabelul 32 
Securitatea aplicaţiei 
Cod Controale de | Documente de 

procedură aplicaţie lucru Revizuiri / Teste 

CA6 Securitatea LV Controale Se vor evalua protecţiile fizice în vigoare pentru 
aplicaţiei: Aplicaţie a preveni accesul neautorizat la aplicaţie sau la 
acces fizic și anumite funcţii ale acesteia, în funcţie de 
logic atribuţii, pentru punerea în aplicare a separării 


sarcinilor și a respectării atribuţiilor 


Se vor testa controalele logice de acces utilizate 
pentru a restricționa accesul la aplicaţie sau la 
anumite funcţii ale acesteia pentru punerea în 
aplicare a separării sarcinilor şi a respectării 
atribuţiilor 


Se vor testa controalele logice existente pentru 
restricționarea activităţii utilizatorilor după ce a 
fost obținut accesul la o aplicație (de exemplu, 
meniuri restricționate) 


Evaluarea controalelor existente în cadrul 
aplicaţiei pentru identificarea acțiunilor 
utilizatorilor individuali (utilizarea de 
identificări unice, jurnale de operații, utilizarea 
semnăturii electronice) 


Auditorul va evalua protecţiile fizice în vigoare pentru a preveni accesul neautorizat la 
aplicație sau la anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în 
aplicare a separării sarcinilor și a respectării atribuţiilor. De asemenea, va evalua 
controalele existente în cadrul aplicației pentru identificarea acţiunilor utilizatorilor 
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individuali (utilizarea de identificări unice, jurnale de operaţii, utilizarea semnăturii 
electronice). 


Auditorul va testa controalele logice de acces utilizate pentru a restricționa accesul la 
aplicație sau la anumite funcţii ale acesteia pentru punerea în aplicare a separării sarcinilor 
și a respectării atribuțiilor, precum și controalele logice existente pentru restricționarea 
activităţii utilizatorilor după ce a fost obținut accesul la o aplicație (de exemplu, meniuri 
restricţionate). 


PROCEDURA CA7 - Evaluarea controalelor privind introducerea datelor 


În vederea prelucrării, datele pot fi introduse într-o varietate de formate. Pe lângă 
informaţiile introduse direct de la tastatură, aplicaţiile informatice acceptă pe scară din ce 
în ce mai largă documente electronice provenind din prelucrări anterioare în alte sisteme 
sau create prin utilizarea dispozitivelor electronice de recunoaștere a caracterelor. 


Controalele fizice și logice de acces trebuie să ofere asigurarea că numai tranzacţiile 
valabile sunt acceptate pentru introducere. 


Controalele fizice de acces includ mecanisme de acces protejate la ușile către biroul 
financiar şi terminalele calculatorului (închidere cu mecanisme de blocare sau cu cheia). 


Controalele logice de acces se referă la capacitatea sistemelor informatice de a identifica 
utilizatorii individuali şi de a raporta identitatea lor față de o listă predeterminată de 
funcţii pe care fiecare dintre aceştia este autorizat să le execute. 


După identificare și autentificare, aplicația poate fi în măsură să controleze drepturile 
fiecărui utilizator. Aceasta se realizează pe baza profilului şi a drepturilor și privilegiilor 
de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu, 
unui utilizator i se poate atribui profilul de operator în registrul de vânzări și ca atare 
acestuia îi va fi interzis să realizeze activităţi în registrul de cumpărări sau în orice alt 
modul din cadrul aplicaţiei. 


O asigurare suplimentară poate fi obținută prin separarea sarcinilor impusă prin 
calculator. Utilizatorii pot avea un profil care să asigure că sistemul va procesa datele 
introduse numai după ce au fost autorizate de un alt membru nominalizat al personalului. 
Profilul utilizatorului trebuie să fie suficient de detaliat pentru a asigura că un membru al 
personalului nu poate accesa sau procesa o tranzacţie financiară de la început la sfârșit. 


Asigurarea că introducerea datelor este completă poate fi obţinută prin gruparea 
tranzacţiilor pe loturi şi verificarea numărului și valorii tranzacţiilor introduse cu 
totalurile calculate independent. 


Dacă aplicaţiile nu utilizează controalele de lot pentru a introduce tranzacţii, auditorul 
trebuie să caute alte dovezi ale completitudinii. Se poate include o examinare a 
documentelor sursă pentru a se confirma că acestea au dat naştere datelor de intrare. 


Aplicațiile pot confirma validitatea intrării prin compararea datelor introduse, cu 
informaţii deja deţinute in sistem (de obicei din nomenclatoare sau cataloage). De 
exemplu, un sistem utilizat de validare a adreselor dintr-un registru de vânzări sau 
cumpărări implică introducerea numărului clădirii și a codului poştal. Calculatorul va 
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căuta adresa în fişierele sale și apoi operatorul o compară cu adresa din documentele de 
intrare. 


Numerele de cont și alte câmpuri cheie pot încorpora cifre de control. Cifrele de control 
sunt calculate prin aplicarea unui algoritm la conținutul câmpului şi pot fi utilizate pentru 
a verifica dacă acel câmp a fost introdus corect. 


Câmpurile financiare pot face obiectul verificării unui set de date pentru a evita 
introducerea de sume neautorizate sau nerezonabile. Datele introduse care încalcă 
limitele prestabilite vor fi respinse şi evidenţiate într-un registru de audit. 


Utilizarea numerelor de ordine ale tranzacţiilor poate releva tranzacţiile lipsă, ajută la 
evitarea tranzacţiilor duble sau neautorizate și asigură un parcurs de audit. 


Controalele precizate mai sus nu sunt valide în condiţiile în care este posibil ca acestea să 
fie ocolite prin acțiuni de introducere sau modificare a datelor, din afara aplicaţiei. 


Tabelul 33 
Controale privind introducerea datelor 
Cod Controale de | Documente 

procedură aplicaţie de lucru Revizuiri / Teste 

CA7 Controale LV Controale | Evaluarea procedurilor/controalelor existente care 
privind Aplicaţie să asigure că introducerea datelor este autorizată şi 
introducerea exactă 
datelor 


Evaluarea controalelor care asigură că toate 
tranzacţiile valabile au fost introduse (verificări de 
completitudine si exactitate), că există proceduri 
pentru tratarea tranzacţiilor respinse sau eronate 


Evaluarea controalelor care asigură că toate 
tranzacţiile sunt valabile 


Evaluarea controalelor care asigură că toate 
tranzacțiile sunt autorizate 


Evaluarea controalelor care asigură că toate 
tranzacțiile sunt înregistrate în perioada financiară 
corectă 


Verificarea acţiunilor care se întreprind de către 
conducere pentru monitorizarea datelor de intrare 


Auditorul trebuie să urmărească existența unor verificări automate ale aplicaţiei care să 
detecteze și să raporteze orice modificări externe ale datelor, de exemplu modificări 
neautorizate efectuate de personalul de operare al calculatorului, direct în baza de date 
aferentă aplicaţiei. Auditorul trebuie să examineze și rezultatele analizelor efectuate de 
sistem, pentru a se asigura că utilizarea facilităţilor de modificare ale sistemului, precum 
editoarele, este controlată corespunzător. 


Auditorul va evalua procedurile / controalele existente care să asigure că introducerea 
datelor este autorizată și exactă, precum și controalele care asigură că toate tranzacțiile 
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valabile au fost introduse (verificări de completitudine și exactitate), că există proceduri 
pentru tratarea tranzacţiilor respinse sau eronate. Va verifica acţiunile care se întreprind de 
către conducere pentru monitorizarea datelor de intrare. 


PROCEDURA CA8 - Evaluarea controalelor privind transmisia de date 


Sistemele informatice sunt conectate fie la rețeaua locală, fie la alte reţele externe (LAN 
sau WAN), care le permit să primească şi să transmită date de la calculatoare aflate la 
distanță. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice, 
cablurile coaxiale, unde infraroșii, fibre optice și unde radio. Indiferent de mijloacele de 
transmisie utilizate, trebuie să existe controale adecvate care să asigure integritatea 
datelor tranzacţiei transmise. 


Aplicațiile care transmit informaţii prin reţele pot fi supuse următoarelor riscuri: 
+ datele pot fi interceptate și modificate fie în cursul transmisiei, fie în cursul 
stocării în site-uri intermediare; 
+ în fluxul tranzacţiei se pot introduce date neautorizate utilizând conexiunile de 
comunicaţii; 
+ datele pot fi deformate în cursul transmisiei. 


Auditorul trebuie să se asigure că există controale care să prevină și să detecteze 
introducerea de tranzacții neautorizate. Aceasta se poate realiza, de exemplu, prin 
controlul asupra proiectării şi stabilirii legăturilor de comunicații, sau prin atașarea 
semnăturilor digitale la fiecare transmisie. 


Integritatea datelor transmise poate fi compromisă datorită defectelor de comunicație. 
Auditorul trebuie să se asigure că funcționează controale adecvate, fie în cadrul reţelei, fie 
în aplicaţiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de 
comunicații al reţelei, respectiv regulile predeterminate care determină formatul și 
semnificația datelor transmise, să încorporeze facilități automate de detecție și corecție. 


Având în vedere uşurinţa interceptării datelor transmise în rețelele locale sau în alte 
rețele externe, protecția neadecvată a rețelei mărește riscul modificării, ștergerii și 
dublării neautorizate a datelor. Există un număr de controale care pot fi utilizate pentru a 
trata aceste probleme: 


+ se pot utiliza semnături digitale pentru a verifica dacă tranzacţia provine de la 
un utilizator autorizat și conţinutul tranzacţiei este intact; 

+ se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea și / 
sau modificarea tranzacţiilor interceptate; 

+  secvențierea tranzacţiilor poate ajuta la prevenirea și detectarea tranzacţiilor 
dublate sau şterse şi pot ajuta la identificarea tranzacţiilor neautorizate. 


Tabelul 34 
Controale ale transmisiei de date 
Cod Controale Documente 

procedură | de aplicaţie de lucru Revizuiri / Teste 

CA8 Controale LV Controale | Asigurarea că transferul de date în rețea este atât 
privind Aplicaţie complet, cât şi exact (utilizarea semnăturii digitale, 
transmisia : criptarea datelor, secvenţierea tranzacţiilor) 
de date 


Pag. 93 din 180 


Cod Controale Documente 
procedură | de aplicaţie de lucru Revizuiri / Teste 


Identificarea şi tratarea riscurilor asociate 
transferului de date în rețea 


Auditorul va evalua controalele implementate pentru asigurarea că transferul de date în 
rețea este atât complet cât și exact [utilizarea semnăturii digitale, criptarea datelor, 
secvențierea tranzacţiilor), precum și metodele de identificare și tratare a riscurilor asociate 
transferului de date în rețea (adoptate de organizaţie). 


PROCEDURA CA9 - Evaluarea controalelor prelucrării 


Controalele prelucrării în cadrul unei aplicații informatice trebuie să asigure că se 
utilizează numai date şi versiuni de program valabile, că procesarea este completă și 
exactă și că datele prelucrate au fost înscrise în fişierele corecte. 


Asigurarea că prelucrarea a fost completă și exactă poate fi obținută prin efectuarea unei 
comparații a totalurilor deduse din tranzacţiile introduse cu totalurile din fişierele de date 
menținute de calculator. Auditorul trebuie să se asigure că există controale pentru 
detectarea procesării incomplete sau inexacte a datelor de intrare. 


Procesele aplicației pot să efectueze și alte validări ale tranzacţiei, prin verificarea datelor 
cu privire la dublarea unor tranzacţii şi la concordanța cu alte informaţii deţinute de alte 
componente ale sistemului. Procesul poate să verifice integritatea datelor pe care le 
păstrează prin utilizarea sumelor de verificare deduse din date. Scopul acestor controale 
este de a detecta modificările externe aduse datelor datorită anomaliilor sistemului sau a 
utilizării neautorizate a unor facilități de modificare ale sistemului, precum editoarele. 


Sistemele informatice financiar-contabile trebuie să menţină un registru al tranzacţiilor 
procesate. Registrul de tranzacţii, care poate fi denumit fișierul parcursului de audit, 
trebuie să conțină informaţii suficiente pentru a identifica sursa fiecărei tranzacții și fluxul 
de prelucrare al acesteia. 


În mediile care se prelucrează loturi de date, erorile detectate în cursul procesării trebuie 
să fie aduse la cunoștința utilizatorilor. Loturile respinse trebuie înregistrate şi înapoiate 
expeditorului. Sistemele online trebuie să încorporeze controale de monitorizare și 
raportare a tranzacţiilor neprocesate sau neclare (precum facturi plătite parţial). Trebuie 
să existe proceduri care să permită conducerii să identifice și să examineze toate 
tranzacțiile neclarificate peste un anumit termen. 


Aplicațiile trebuie sa fie proiectate pentru a face față perturbațţiilor, precum cele cauzate 
de defecte de alimentare cu curent electric sau de echipament (salvarea stării curente în 
caz de incident). Sistemul trebuie sa fie capabil să identifice toate tranzacțiile incomplete 
şi să reia procesarea acestora de la punctul de întrerupere. 
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Tabelul 35 
Controalele prelucrării 


Cod Controale Documente 
procedură | de aplicaţie de lucru Revizuiri / Teste 
CA9 Controalele | LV Controale | Evaluarea controalelor existente care să asigure că 
prelucrării | Aplicaţie toate tranzacţiile au fost procesate, pentru a reduce 


riscul de procesare a unor tranzacţii incomplete, 
eronate sau frauduloase 


Evaluarea controalelor existente care să asigure că 
sunt procesate fişierele corecte (controalele pot fi de 
natură fizică sau logică și previn riscul de procesare 
necorespunzătoare a unor tranzacţii) 


Se va verifica existența controalelor pentru a asigura 
exactitatea procesării și a controalelor pentru 
detectarea / prevenirea procesării duble 


Se va verifica existența controalelor pentru a asigura 
că toate tranzacţiile sunt valabile 


Se va verifica existența controalelor pentru a asigura 
că procesele din calculator sunt auditabile 


Se va verifica modul în care aplicaţia şi personalul 
tratează erorile de procesare 


Auditorul va evalua controalele existente care să asigure că toate tranzacţiile au fost 
procesate, pentru a reduce riscul de procesare a unor tranzacții incomplete, eronate sau 
frauduloase, controalele existente care să asigure că sunt procesate fișierele corecte 
(controalele pot fi de natură fizică sau logică și previn riscul de procesare 
necorespunzătoare a unor tranzacții), precum și existența controalelor care să asigure 
exactitatea procesării și a controalelor pentru detectarea / prevenirea procesării duble. 

Se va verifica, de asemenea, modul în care aplicaţia și personalul tratează erorile de 
procesare. 


PROCEDURA CA10 - Evaluarea controalelor privind datele de ieşire 


Implementarea controalelor datelor de ieşire trebuie să asigure că rezultatele furnizate de 
sistemul informatic îndeplinesc următoarele condiții: 

e sunt complete; 

e sunt exacte; 

e au fost distribuite corect. 


Pentru a obține o asigurare că avut loc o prelucrare completă şi exactă, se implementează 
un mecanism de raportare a tuturor mesajelor de eroare detectate în cursul procesării sau 
de furnizare a unor totaluri de control care să se compare cu cele produse în cursul 
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introducerii, pus la dispoziția persoanelor responsabile cu introducerea și autorizarea 
datelor tranzacţiei. Aceasta poate lua forma unui registru de operații. 


Completitudinea şi integritatea rapoartelor de ieșire depinde de restricționarea capacității 
de modificare a ieşirilor și de încorporarea de verificări de completitudine, cum ar fi 
numerotarea paginilor, şi de prezentarea unor sume de verificare. 


Fișierele de ieşire trebuie să fie protejate pentru a reduce riscul modificărilor 
neautorizate. Motivaţii posibile pentru modificarea datelor de ieşire includ acoperirea 
procesării neautorizate sau manipularea rezultatelor financiare nedorite. De exemplu, 
fişierele de ieşire neprotejate în cadrul unui sistem de plată a notelor de plată ar putea fi 
exploatate prin alterarea sumelor cecurilor sau a ordinelor de plată și a detaliilor 
beneficiarului. O combinaţie de controale fizice și logice poate fi utilizată pentru 
protejarea integrității datelor de ieșire. 


Datele de ieşire dintr-un sistem IT pot constitui date de intrare în alt sistem, înainte ca 
acestea să fie reflectate în situaţiile financiare; de exemplu, datele de ieşire dintr-un 
sistem care transferă statele de plată, ca date de intrare, în registrul general. Acolo unde se 
întâlnește acest caz, auditorul trebuie să verifice existența controalelor care să asigure că 
datele de ieșire sunt transferate exact de la o fază de procesare la alta. Un alt exemplu ar fi 
în cazul în care datele de ieșire dintr-o balanţă de verificare sunt utilizate ca date de 
intrare într-un pachet de procesare de tabele care reformatează datele pentru a produce 
situaţiile financiare. 


Tabelul 36 
Controalele privind datele de ieșire 
Cod Controale | Documente 
procedură de de lucru Revizuiri / Teste 
aplicaţie 

CA10 Controale | LV Controale | Se va verifica existenţa controalelor care să asigure că 
privind Aplicaţie rezultatele furnizate de sistemul informatic sunt 
datele de complete, sunt exacte; au fost distribuite corect 
ieşire 


Se va verifica existența controalelor care să asigure că 
ieșirile de la calculator sunt stocate corect şi atunci 
când sunt transmise acestea ajung la destinație 


Se va verifica existența controalelor corespunzătoare 
privind licenţele software 


Se va verifica existența controalelor privind caracterul 
rezonabil, exactitatea şi completitudinea ieşirilor 


Auditorul va verifica existența controalelor care să asigure că ieșirile de la calculator sunt 
stocate corect și, atunci când sunt transmise, acestea ajung la destinaţie, va verifica 
existența controalelor corespunzătoare privind caracterul rezonabil, exactitatea şi 
completitudinea ieșirilor. 
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PROCEDURA CA11 - Evaluarea controalelor privind fişierele de date 
permanente 


Implementarea controalelor privind fișierele de date permanente trebuie să ofere 
asigurarea că: modificările aduse datelor sunt autorizate; utilizatorii sunt răspunzători de 
modificări; integritatea este păstrată. 


Controalele de acces, de identificare și autentificare puternice, pot sta la baza asigurării că 
datele permanente sunt create, modificate, recuperate sau şterse numai de personal 
autorizat. Aceste controale sunt foarte eficiente atunci când sunt implementate în sistemul 
de operare, deoarece vor preîntâmpina utilizarea neautorizată a facilităților sistemului 
pentru a modifica datele în afara mediului de control al aplicaţiei. 


Fișierele de date permanente trebuie să fie protejate pentru a evita ca tranzacții valabile 
să fie procesate incorect. De exemplu, modificarea unor detalii referitoare la furnizori 
poate conduce la situația ca o plata valabilă să fie efectuată unui beneficiar neautorizat. 
Controalele de acces trebuie să asigure că există o separare a sarcinilor între cei care 
păstrează datele permanente şi cei care introduc tranzacţii. Registrele de audit trebuie să 
înregistreze informaţii, precum data și ora la care s-a făcut modificarea, identificarea 
persoanei responsabile şi câmpurile de date afectate. Fișierele importante de date 
permanente trebuie să aibă copii de rezervă ori de câte ori se fac modificări importante. 


Aplicațiile care controlează permisiunile de acces ale utilizatorului stochează detalii ale 
acestor permisiuni în fișierele de date permanente. Aceste fişiere trebuie să fie protejate la 
modificări neautorizate. Conducerea trebuie să probeze că se realizează verificări 
independente, care să asigure că administratorul sistemului de control al accesului 
aplicației nu abuzează de privilegiile sale. Organizațiile pot lista periodic conţinutul 
fişierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru 
verificări operative. 


Tabelul 37 
Controalele privind fișierele de date permanente 
Cod Controale Documente 
procedură | de aplicaţie | de lucru Revizuiri / Teste 
CA11 Controale LV Controale | Se va verifica existenţa şi se vor testa controalele 
privind Aplicaţie privind autorizarea accesului și a modificărilor 


fișierele de 
date 
permanente 


datelor permanente 


Se va obține asigurarea că datele permanente sunt 
create, modificate, recuperate sau şterse numai de 
personal autorizat 


Verificări operative prin listarea periodică a 
conținutului fişierelor de date permanente 


Fişierele importante de date permanente au copii de 
rezervă ori de câte ori se fac modificări importante 


Conducerea trebuie să probeze că se realizează 
verificări independente, care să asigure că 
administratorul sistemului de control al accesului 
aplicației nu abuzează de privilegiile sale 
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Auditorul va verifica existența controalelor și va testa controalele privind autorizarea 
accesului și a modificărilor datelor permanente. 


PROCEDURA CA12 - Evaluarea conformităţii aplicaţiilor cu legislaţia în 
vigoare 


În cadrul entităților auditate, sistemele informatice care fac obiectul evaluării sunt 
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru 
evidenţa, prelucrarea și obţinerea de rezultate, situații operative şi sintetice la toate 
nivelele de raportare. 

Din acest motiv, o categorie specială de controale IT se referă la conformitatea sistemului 
informatic cu cerințele impuse de cadrul legislativ și de reglementare. 


Cerinţele legislative și de reglementare variază de la o ţară la alta. Acestea includ: 
+ Legislația privind protecţia datelor private și legislația privind protecția datelor 
personale; 
+ Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității 
informatice; 
+ Reglementări financiare şi bancare; 
+ Legile cu privire la proprietatea intelectuală. 


Tabelul 38 
Evaluarea conformităţii aplicaţiilor cu legislația în vigoare 
Cod Controale de | Documente 

procedură aplicaţie de lucru Revizuiri / Teste 

CA12 Conformitatea | LV Controale | Existenţa unor politici sau proceduri formale prin 
aplicaţiilor cu | Aplicaţie care se atribuie responsabilitatea monitorizării 
legislaţia în mediului legislativ care poate avea impact asupra 
vigoare sistemelor informatice 


Este alocată responsabilitatea asigurării 
conformităţii aplicaţiilor cu clauzele contractuale 
privind: 


e asigurarea că sistemul implementat este 
actualizat în conformitate cu ultima versiune 
furnizată; 

e respectarea termenelor privind distribuirea 
ultimelor versiuni de echipamente, software, 
documentație; 

e livrarea și instalarea configuraţiilor hardware 
/ software pe baza unui grafic, conform 
clauzelor contractuale, pe etape și la termenele 
stabilite; 

e respectarea obligațiilor privind instruirea şi 
suportul tehnic, stabilite prin contract; 

e furnizarea pachetelor software conform 
clauzelor contractuale. Verificarea existenței şi 
valabilității licenţelor furnizate în cadrul 
contractului; 


Pag. 98 din 180 


Cod Controale de | Documente 
procedură aplicaţie de lucru Revizuiri / Teste 


e asigurarea suportului tehnic (prin telefon, e- 
mail sau utilizând un portal; portalul poate 
avea secțiuni distincte foarte utile pentru 
suport tehnic specializat pe categorii relevante 
de probleme / anomalii sau pentru instruirea 
continuă a utilizatorilor; 

e furnizarea documentaţiei tehnice conform 
contractului: conținutul (lista, numărul 
manualelor, limba) şi formatul (tipărit, în 
format electronic, on-line); 


Existenţa unor proceduri scrise privind analiza și 
acceptarea produselor şi serviciilor furnizate în 
cadrul contractului, precum şi recepţia cantitativă 
şi calitativă 


Existenţa specificaţiilor funcționale, a manualelor 
de utilizare şi administrare pentru proiectele de 
dezvoltare software 


Existenţa manualelor de utilizare pentru 
echipamentele livrate 


PROCEDURA CA13 - Efectuarea testelor de audit 


În etapa de studiu preliminar, auditorul trebuie să obţină o înţelegere suficientă a 
sistemului pentru a determina dacă sistemul de controale interne este de încredere și 
furnizează informaţii corecte despre acurateţea înregistrărilor. În cazul în care sistemul de 
controale interne nu pare a fi suficient de robust, auditorul trebuie să testeze controalele 
pentru a evalua riscul asupra obiectivelor auditului. 

În acest scop, auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi 
bazate pe programe de test al conformităţii care conţin informaţii privind: descrierea 
controlului care va fi testat, proba de audit estimată pentru satisfacerea condiţiilor, teste 
extinse (inclusiv bazate pe eşantionare), descrierea funcționării eronate a controlului, câte 
eşecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici 
tradiționale, cum ar fi observarea, interviul, examinarea şi eşantionarea, cu tehnici de 
auditare asistată de calculator. 


Tabelul 39 
Efectuarea testelor de audit 
Cod Controale de Documente RRA 
procedură aplicație de lucru Kevranti /TEStE 
CA13 Efectuarea LV Controale | Se va verifica existența evidenţelor complete ale 
testelor de Aplicaţie tranzacţiilor aferente aplicației 
audit 
Se va evalua fezabilitatea colectării probelor de 
audit relevante şi suficiente 
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Cod 
procedură 


Controale de 
aplicaţie 


Documente 
de lucru 


Revizuiri / Teste 


Se va evalua dacă parcursul (pista) de audit se 
poate reconstitui din fluxul de prelucrare 


Se va evalua dacă aplicaţia este disponibilă atunci 
când este nevoie, funcționează conform cerinţelor, 
este fiabilă şi are implementate controale sigure 
asupra integrității datelor 


Se va detalia procedura de actualizare a aplicaţiei în 
concordanță cu modificările legislative 


Se va evalua aplicaţia din punct de vedere al 
gestionării resurselor informatice disponibile (date, 
funcționalitate, tehnologii, facilităţi, resurse umane, 
etc.) 


Se va evalua cunoaşterea funcționării aplicației de 
către utilizatori 


Se vor efectua teste de verificare a parametrilor şi 
funcționalității aplicaţiei din punct de vedere 
operațional şi al conformităţii cu legislația în 
vigoare 


Se vor efectua teste de verificare la nivel de funcție 
pentru procedurile critice din punctul de vedere al 
performanţei (lansarea, derularea și abandonarea 
procedurilor, accesul la informaţii în funcţie de 
perioada de înregistrare/raportare, restaurarea 
bazei de date) 


Se vor efectua teste privind corectitudinea 
încărcării / actualizării informaţiilor în baza de 
date. Se vor menţiona metodele de depistare şi 
rezolvare a erorilor. Se vor testa funcţiile de 
regăsire şi analiză a informaţiei 


Se va evalua interoperabilitatea aplicaţiei cu 
celelalte aplicaţii din sistemul informatic 


Se vor evalua: sistemul de raportare propriu 
aplicaţiei și sistemul de raportare global 


Se vor efectua teste privind modul de accesare a 
aplicaţiei la nivel de rețea, la nivelul staţiei de lucru 
şi la nivel de aplicaţie 


Se vor testa funcţiile de conectare ca utilizator final 
şi de operare în timp real, pe tranzacţii de test 


Se va evalua funcționalitatea comunicării cu 
nivelele superior şi inferior 
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Cod Controale de 
aplicaţie 


Documente 


Revizuiri / Teste 
de lucru / 


procedură 


Se va analiza soluția de gestionare a documentelor 
electronice 


Se va efectua verificarea prin teste a protecţiilor 
aferente aplicaţiei 


Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot 
sintetiza astfel: 


(a) Controalele IT nu furnizează un istoric al operării din cauza scufundării lor în corpul 
aplicaţiei şi, în consecință, nu furnizează probe de audit explicite. 

(b) Perioada de timp în care acționează controalele de aplicaţie IT este limitată, acestea 
acționând, în general, pe o durată foarte scurtă a ciclului de viață al tranzacţiei (de 
exemplu, pe durata introducerii datelor). 

(c) Rezervele auditorilor faţă de controalele de aplicație IT datorate eventualităţii alterării 
acestora de către persoane interesate în inducerea în eroare a auditorului. 

(d) Rezervele auditorilor față de controlul preventiv asigurat, decurgând din natura 
controalelor IT, care nu prezintă garanții privind funcţionarea corectă. 


Majoritatea organizaţiilor folosesc produse informatice pentru gestiune şi contabilitate. Ca 
urmare a cerinţelor impuse informației contabile de către utilizatorii acesteia, produsele 
informatice trebuie să îndeplinească, la rândul lor, o serie de cerințe specifice. 


2.3.1 Norme metodologice ale Ministerului Finanţelor Publice 
privind criterii şi cerinţe minimale pentru sistemele informatice 
financiar- contabilitate 


În România există o multitudine de dezvoltări ale unor astfel de produse, care ar trebui să 
se raporteze la o serie de criterii și cerințe minimale reglementate, în principal, prin 
norme metodologice ale Ministerului Finanţelor Publice. Aceste norme se referă în 
principal la următoarele aspecte: 


a) Pentru controlul intern 


b) Actualizările sistemului informatic în concordanţă cu modificările legislative; 

c) Cunoașterea funcționării sistemului informatic de către utilizatori (personalul de 
operare); 

d) Accesul la date (confidenţialitate, utilizare de parole de acces la date și la sistem); 

e) Opţiuni pentru alegerea tipului de suport magnetic pentru copiile de siguranţă; 

f) Posibilităţi de depistare şi rezolvare a erorilor. 


a) Pentru controlul extern 


a) Posibilităţi de verificare completă sau prin sondaj a procedurilor de prelucrare; 


b) Posibilităţi de verificare completă sau prin sondaj a operaţiunilor înregistrate în 
contabilitate; 
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c) Posibilităţi de verificare completă sau prin sondaj a fluxului de prelucrări prin teste 
de control. 


c) Criterii minimale pentru produsele informatice de gestiune și contabilitate 


a) Concordanțţa cu legislația în vigoare; 

b) Precizarea tipului de suport care să asigure prelucrarea în siguranță a 
informațiilor; 

c) Identificarea completă a fiecărei informații înregistrate; 

d) Respectarea criteriului cronologic în liste, cu imposibilitatea actualizării ulterioare 
a listei; 

e) Transferul automat al soldurilor precedente pentru perioada curentă; 

f) Conservarea datelor (arhivarea) conform Legii contabilităţii nr. 82/1991; 

g) Posibilitatea restaurării datelor arhivate; 

h) Imposibilitatea actualizării datelor pentru perioadele de gestiune precedente; 


i) Preluarea informaţiilor esenţiale pentru identificarea operațiunilor: dată, 
denumire jurnal, număr pagină sau număr înregistrare, număr document; 

j) Acces parolat; 

k) Identificarea în liste a unității patrimoniale, a paginării cronologice, a tipului de 
document, a perioadei de gestiune, a datei de listare și a versiunii de produs 
progam; 

]) Listarea documentelor de sinteză necesare conducerii întreprinderii; 

m) Respectarea conținutului informaţional pentru formularele cu regim special; 


n) Asigurarea concordanțţei între cartea mare a fiecărui cont şi jurnalul de 
înregistrare; 


0) Să respecte cerințele de normalizare a bazelor de date cu privire la conturi și 
documente; 

p) Să existe posibilitatea actualizării conturilor fără afectarea situaţiilor patrimoniale 
şi a celei de gestiune; 

q) Să existe documentaţie tehnică asociată caracteristicilor produselor program 
(mono / multi post, mono / multi societate, portabilitatea fişierelor, arhitectura de 
rețea, aplicații) care să permită utilizarea optimă a produselor informatice în 
cauză; 


r) Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control 
ulterior, în timp real cu control imediat, combinat); 


s) Să nu fie limitat volumul informaţiilor contabile; 
t) Să asigure securitatea datelor și fiabilitatea; 


u) Să existe clauze de actualizare a procedurilor de prelucrare a informaţiilor 
financiar-contabile; 


v) Să asigure continuitatea sistemului în cazul încetării activității de dezvoltare 
software, inclusiv arhivarea și restaurarea datelor; 


w) Să funcționeze gestiunea versiunilor. 
2.3.2 Volumul de teste de control 
În ceea ce priveşte determinarea volumului de teste necesare pentru obţinerea asigurării 


privind funcţionarea controalelor, auditorul își bazează decizia pe o combinaţie între 
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raționamentul profesional şi o modelare statistică pe care o poate efectua în acest scop. 
Dacă auditorul își propune să planifice ca testele de control să se efectueze pe un număr 
mare de tranzacţii, atunci va aplica metoda eșantionării datelor şi va stabili dimensiunea 
eșantionului. 


Auditorul va efectua următoarele teste: 


Va verifica criteriile și cerințe minimale reglementate, în principal, prin normele 
metodologice ale Ministerului Finanțelor Publice; 


Va verifica existența evidențelor complete ale tranzacţiilor aferente aplicaţiei; 
Va evalua fezabilitatea colectării probelor de audit relevante și suficiente; 


Va evalua dacă parcursul (pista) de audit se poate reconstitui din fluxul de 
prelucrare; 


Va evalua dacă aplicaţia este disponibilă atunci când este nevoie, funcționează 
conform cerințelor, este fiabilă și are implementate controale sigure asupra 
integrității datelor; 

Va detalia procedura de actualizare a aplicaţiei în concordanță cu modificările 
legislative; 

Va evalua aplicaţia din punct de vedere al gestionării resurselor informatice 
disponibile (date, funcţionalitate, tehnologii, facilităţi, resurse umane etc.); 

Va evalua cunoașterea funcţionării aplicaţiei de către utilizatori; 

Va efectua teste de verificare a parametrilor și funcţionalității aplicației din punct de 
vedere operaţional și al conformităţii cu legislaţia în vigoare; 

Va efectua teste de verificare la nivel de funcţie pentru procedurile critice din punctul 
de vedere al performanţei (lansarea, derularea și abandonarea procedurilor, accesul 


la informații în funcţie de perioada de înregistrare / raportare, restaurarea bazei de 
date); 


Se vor efectua teste privind corectitudinea încărcării / actualizării informațiilor în 
baza de date. Se vor menționa metodele de depistare și rezolvare a erorilor. Se vor 
testa funcţiile de regăsire și analiză a informației; 

Va evalua interoperabilitatea aplicaţiei cu celelalte aplicații din sistemul informatic; 
Va evalua sistemul de raportare propriu aplicaţiei și sistemul de raportare global; 

Se vor efectua teste privind modul de accesare a aplicaţiei la nivel de reţea, la nivelul 
staţiei de lucru și la nivel de aplicaţie; 

Se vor testa funcţiile de conectare ca utilizator final și de operare în timp real, pe 
tranzacţii de test; 

Se va evalua funcționalitatea comunicării cu nivelele superioare și inferioare; 

Se va analiza soluția de gestionare a documentelor electronice; 

Se va efectua verificarea prin teste a protecţiilor aferente aplicaţiei. 


Această listă nu este exhaustivă. În funcție de obiectivele auditului și de specificul 
sistemului / aplicației auditate, auditorul poate decide efectuarea și a altor teste care pot 
furniza concluzii relevante pentru formularea unei opinii corecte. 
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Capitolul 3. Riscuri IT 


Riscul IT este o componentă a universului general al riscurilor organizației. Alte categorii 
de riscuri cu care se confruntă o întreprindere includ: riscul strategic, riscul de mediu, 
riscul de piaţă, riscul de credit, riscul operaţional și riscul de conformitate. Riscul legat de IT 
poate fi considerat, în același timp, ca find o componentă a riscului operaţional, sau a 
riscului strategic. 


Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, 
implicarea, influența şi adoptarea IT în cadrul unei organizaţii. Se compune din 
evenimente legate de IT şi din condiţii care ar putea avea impact potential asupra afacerii. 
Acesta poate apărea cu frecvență şi amploare incerte, şi poate să creeze probleme în 
atingerea obiectivelor strategice și a obiectivelor. 


Riscurile IT pot fi clasificate în diferite moduri: 

+ Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru; 
inițiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaţiunilor 

+ Riscuri privind livrarea programelor și proiectelor IT: calitatea proiectului, relevanţa 
proiectului, perturbări în derularea proiectului; 

+ Riscuri privind operarea și livrarea serviciilor IT: stabilitatea în funcționare, 
disponibilitatea, protecţia și recuperarea serviciilor, probleme de securitate, 
cerințe de conformitate. 


Multe probleme legate de riscul IT pot apărea din cauza problemelor generate de terți 
(furnizarea de servicii, dezvoltarea de soluţii), parteneri IT şi parteneri de afaceri. Prin 
urmare, buna gestionare a riscurilor IT impune dependențe semnificative care urmează să 
fie cunoscute şi bine înţelese. 

Datorita importanţei IT pentru organizaţie (afacere), riscurile IT ar trebui să fie tratate la 
fel ca alte riscuri cheie ale afacerii, cum ar fi riscul strategic, riscul de mediu, riscul de 
piaţă, riscul de credit, riscurile operaționale și riscul de conformitate, toate acestea având 
impact major asupra îndeplinirii obiectivelor strategice. 

În acest sens, în conformitate cu OMF nr. 946/2005 pentru aprobarea Codului controlului 
intern, cuprinzând standardele de management/control intern la entităţile publice și pentru 
dezvoltarea sistemelor de control managerial, instituţiile publice sunt obligate să 
întocmescă şi să actualizeze periodic un registru al riscurilor care va avea o secțiune 
dedicată riscurilor IT. 


Riscul IT nu este doar o problemă tehnică. Deşi experții în IT sunt interesați să înțeleagă și 
să gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre 
părțile interesate. 


3.1 Probleme cu impact semnificativ asupra riscului de audit 


În cazul informatizării unei părți semnificative a activităţii entității, se impune evaluarea 
influenței utilizării sistemului informatic asupra riscurilor auditului (inerent şi de control), 
având în vedere aspectele legate de relevanțţa și credibilitatea probelor de audit. Vom 
prezenta în continuare o serie de probleme tipice cu impact semnificativ asupra riscului 
de audit. 
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(d) 
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(g) 


(h) 


G) 


Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare 
pe care le parcurge tranzacţia, generându-se în cele mai multe cazuri numai o 
formă finală și uneori numai în format electronic sau disponibilă numai pentru o 
perioadă scurtă de timp. În lipsa unor proceduri de validare adecvate, erorile pot fi 
dificil de detectat prin proceduri manuale, proba de audit fiind neconcludentă. 


Alterarea probelor de audit poate fi cauzată de existența unor anomalii sau erori 
sistematice ale funcționării programelor, care afectează prelucrarea întregului 
fond de date şi duc la obținerea unor rezultate eronate, greu de corectat prin 
proceduri manuale, având în vedere volumul mare al tranzacţiilor și complexitatea 
algoritmilor de prelucrare. 


Concentrarea operării unor proceduri cu funcționalitate incompatibilă la nivelul 
aceluiași individ, proceduri care, potrivit legislației sau reglementărilor interne 
privind separarea atribuţiilor, ar trebui operate de către persoane diferite, 
generează executarea unor funcții incompatibile și posibilitatea accesului și 
alterării conținutului informațional în funcţie de interese personale. O cerință 
importantă legată de operarea sistemului informatic este distribuirea aplicaţiilor 
în cadrul entității și alocarea drepturilor de utilizare în conformitate cu necesitatea 
separării atribuţiilor, impusă de legislaţie. 


Datorită intervenţiei umane, care nu are întotdeauna asociate protecţii stricte 
privind autorizarea accesului şi intervenția asupra fondului de date, în 
dezvoltarea, întreținerea şi operarea sistemului informatic, există un potenţial 
foarte mare de alterare a fondului de date fără o dovadă explicită. 


Ca urmare a gestionării automate a unui volum mare de date, fără implicare 
umană, există riscul nedetectării pentru o perioadă lungă de timp a unor erori 
datorate unor anomalii de proiectare sau de actualizare a unor componente 
software. 


În cazul unor proceduri sau tranzacții executate în mod automat, autorizarea 
acestora de către management poate fi implicită prin modul în care a fost proiectat 
şi dezvoltat sistemul informatic și pentru modificările ulterioare, ceea ce 
presupune lipsa unei autorizări similare celei din sistemul manual, asupra 
procedurilor şi tranzacţiilor. 


Eficacitatea procedurilor manuale de control este afectată de eficacitatea 
controalelor IT în situaţia în care procedurile manuale se bazează pe documente şi 
rapoarte produse în mod automat de sistemul informatic. 


Extinderea structurii de control intern cu controale specializate, bazate pe 
utilizarea tehnologiei informaţiei, are efecte în planul monitorizării activității 
entității prin utilizarea unor instrumente analitice oferite de sistemul informatic. 


Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea 
tehnicilor şi instrumentelor de audit asistat de calculator, este facilitată de 
existența unor proceduri de prelucrare și analiză oferite de sistemul informatic. 


Evaluarea riscurilor în cazul misiunilor de audit în mediu informatizat trebuie să 
aibă în vedere probabilitatea obţinerii unor informații eronate cu impact 
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semnificativ asupra auditului ca rezultat al unor deficiențe în funcţionarea 
sistemului informatic. Aceste deficiențe pot fi legate atât de calitatea infrastructurii 
hardware și/sau software, de dezvoltarea şi întreținerea aplicaţiilor, de operarea 
sistemului, de securitatea sistemului și a informațiilor, de calitatea personalului 
implicat în funcționarea sistemului, de calitatea documentaţiei tehnice, cât și de 
intervențiile neautorizate asupra aplicaţiilor, bazelor de date sau de condiţiile 
procedurale impuse în cadrul sistemului. 


În proiectarea procedurilor de audit, se vor lua în considerare restricţiile impuse de mediul 
informatic și se vor alege soluţii care să reducă riscul de audit: proceduri manuale de audit, 
tehnici de audit asistat de calculator, o soluție mixtă, în scopul obținerii unor probe de audit 
de încredere. 


3.2 Riscurile generate de existența mediului informatizat 


Înțelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum 
şi a procedurilor de evaluare și management al riscurilor este fundamentală în efectuarea 
auditului. 


Evaluarea riscurilor generate de funcționarea sistemului informatic, prin analiza unor arii 
de risc cu impact în desfăşurarea activității entității auditate, respectiv: dependenta de IT, 
resurse și cunoștințe IT, încrederea în IT, schimbări în IT, externalizarea IT, securitatea 
informatiei, respectarea legislației în vigoare, este esențială. 


3.2.1 Dependenta de IT 


Dependența de tehnologiile informației este un factor cheie în condițiile în care tendința 
actuală este de a se generaliza utilizarea calculatoarelor în toate domeniile economice și 
sociale. 

În scopul evaluării dependenței conducerii de tehnologiile informației, auditorul va 
examina următoarele aspecte relevante: gradul de automatizare al entității, complexitatea 
sistemelor informatice utilizate și timpul de supraviețuire al entității în lipsa sistemului IT. 


Tabelul 40 
Dependenta de IT 
Arii de risc Documente 
Factori de risc de lucru 


Gradul de automatizare Numărul şi importanța sistemelor informatice sau LV Riscuri 
aplicaţiilor care funcționează şi sunt utilizate în 
cadrul entității pentru conducerea proceselor 


Ponderea activităților informatizate în totalul 
activităților entității 


Gradului de acoperire a necesităților în 
compartimentele funcționale și la nivelul conducerii 
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Arii de risc 


Factori de risc 


Documente 
de lucru 


Complexitatea 
sistemului IT 


Volumul tranzacţiilor gestionate de fiecare din 
aplicaţiile informatice (subsisteme) şi forma de 
prezentare (alfanumerică, multimedia, analogică) 


Tehnologia utilizată, pentru fiecare din 
subsistemele sistemului informatic 


Modul de operare (în timp real sau în loturi) 


Volumul tranzacţiilor generate automat de către 
aplicații 


Modul de preluare a datelor: în format electronic 
sau manual (suport hârtie), în timp real sau pe 
loturi 


LV_Riscuri 


Timpul de supravieţuire 
fără IT 


Consecințele asupra activității curente în 
eventualitatea întreruperii funcționării sistemului 
informatic sau a unui subsistem 


Sistemul prelucrează un volum mare de tranzacții, 
are la bază algoritmi şi modele complexe a căror 
rezolvare nu se poate efectua manual 


Intreaga activitate este  informatizată iar 
substituirea procedurilor automate prin proceduri 
manuale este foarte costisitoare sau imposibilă 


Posibilitatea limitată de refacere a funcționalității, 
costurile, intervalul de timp necesar pentru 
reluarea funcționării, impact economic, social, de 
imagine, etc. 


LV_Riscuri 


3.2.2 Resurse şi cunoștințe IT 


Politica de personal și de instruire 


Erorile și omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea 
riscurilor cauzate de greșelile umane, entitatea trebuie să implementeze controale şi 
proceduri în cadrul unor politici de personal adecvate: o structură organizațională clară, 
formalizată în organigrama entității, descrierea posturilor, planificarea personalului, 
instruirea și dezvoltarea personalului, politici de angajare/concediere (inclusiv coduri de 
conduită), evaluarea personalului (promovare/retrogradare), contracte speciale, rotația 
personalului, concediile personalului. 


Tabelul 41 
Resurse și cunoștințe IT 
Arii de risc : Documente 
Factori de risc 
de lucru 
Aptitudini curente | Structura profesională a angajaților din compartimentul IT | LV_Riscuri 


(organigramă, număr, stat functiuni, fise de post etc.) 
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Arii de risc 


Factori de risc 


Documente 


de lucru 

Nivelul de pregătire al angajaților IT în raport cu 

necesităţile activităţii curente 

Anumite cunoștințe IT concentrate la nivelul unui număr 

restrâns de personal 

Metodele de evaluare a personalului IT 
Resurse Numărul personalului IT în raport cu volumul de muncă LV Riscuri 
comparate cu : FERD iiai p 
volumul de-un că upraîncărcarea personalului 

Activitatea personalului IT nu este una specifică exclusiv 

domeniului IT 
Fluctuaţia Fluctuaţia personalului IT în ultima perioadă (de exemplu, | LV Riscuri 
personalului 3 ani) = 


Insatisfacţia profesională 


Moralul personalului IT (nivel de salarizare, stimulente, 
posibilități de promovare, stagii de pregătire și de 
perfecționare etc.). 


3.2.3 Încrederea în IT 


Încrederea actorilor implicaţi în utilizarea sistemelor informatice sau în valorificarea 
rezultatelor furnizate de acestea în cadrul unei entități (management, utilizatori, auditori) 
este determinată atât de calitatea informaţiilor obținute, cât și gradul în care se asigură 
utilizarea tehnologiilor informatice ca instrumente accesibile și prietenoase în activitatea 


curentă. 
Tabelul 42 
Încrederea în IT 
Arii de risc A ; Documente 
Factori de risc 
de lucru 
Complexitatea | Încrederea conducerii de vârf și a personalul implicat în LV_Riscuri 
sistemului și proiectele legate de implementarea serviciilor IT, în 
documentaţia implementarea programelor și proiectelor 
aplicaţiilor 
informatice Percepția privind complexitatea calculelor și a proceselor 


controlate de către sistemele IT, prin amploarea 
automatizării activităților desfăşurate în cadrul entității, prin 
calitatea şi varietatea interfeţelor, prin informaţiile 
documentare aferente utilizării aplicaţiilor și sistemului 


Cum este apreciată complexitatea sistemului de către 
personalul implicat în coordonare, administrare, întreținere 
şi utilizare 


În ce constau şi cum sunt apreciate documentaţia şi suportul 
metodologic (calitatea slabă generează practici de lucru 
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Arii de risc 


Factori de risc 


Documente 
de lucru 


neautorizate adoptate de personalul IT, creşterea numărului 
de erori produse de personalul IT, dificultatea întreținerii 
sistemului, precum şi dificultatea diagnosticării erorilor 


Politici neadecvate în ceea ce priveşte existența și 
calitatea documentației, păstrarea și utilizarea 
documentației actualizate la ultima versiune şi păstrarea 
unei copii a documentaţiei într-un loc sigur în afara 
sediului entității 


Asistenţa, cum ar fi cea de tip helpdesk nu este furnizată pe 
tot intervalul în care este necesară utilizatorilor 


Integrarea / 
fragmentarea 
aplicaţiilor 


Entitatea nu deține o soluţie integrată a sistemului informatic, 
acesta fiind constituit din implementări de aplicaţii 
insularizate, dedicate unor probleme punctuale (aplicația 
financiar-contabilă, aplicații dedicate activităţii de bază a 
entității, etc.) 


Dficultatea (sau chiar imposibilitatea) de a asigura 
interoperabilitatea aplicaţiilor și a evita multiplicarea 
informaţiilor 


Validarea într-o manieră eterogenă, respectiv prin proceduri 
automate combinate cu proceduri manuale, pentru a se 
asigura detectarea şi corectarea erorilor de intrare, precum și 
detectarea inconsistenţei sau redundanțţei datelor 


Existenţa unor baze de date diverse, unele instalate pe 
platforme hardware/software învechite 


Existenţa unor interfeţe utilizator diferite şi uneori 
neadecvate 


Existenţa unor facilități de comunicație reduse şi a unor 
probleme de securitate cu riscuri asociate 


Existenţa unor probleme de securitate cu riscuri asociate 


LV_Riscuri 


Competența şi 
încrederea 
personalului în 
dezvoltare, 
implementare și 
suport 


Personalul este informat despre necesitatea și beneficiile care 
decurg din utilizarea sistemului IT 


Personalul înţelege ce roluri va juca și ce așteptări sunt de la 
acesta 


Cum este apreciată receptivitatea utilizatorilor 
Utilizatorii consideră utilă implementarea sistemului 
Utilizatorii consideră dificilă utilizarea sistemului 


Cultura organizațională permite o forță de muncă mobilă, 
flexibilă şi adaptabilă 


LV_Riscuri 
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Arii de risc 


Factori de risc 


Documente 
de lucru 


Erori 
sistematice/ 
intervenții 
manuale 


Erori raportate în cadrul utilizării sistemului 


Calitatea slabă a suportului tehnic pentru analiza și 
corectarea erorilor în mediul de producţie 


Numărul, frecvența şi tipul erorilor constatate în cazul 
fiecărei aplicaţii în parte 


Lipsa procedurilor de semnalare a anomaliilor, erorilor sau 
incidentelor și a modalităților de corectare/rezolvare 


Măsura în care datele generate de aplicaţii suferă prelucrări 
manuale ulterioare din partea utilizatorilor 


Gradul ridicat de fragmentare a aplicaţiilor informatice 
implică acțiuni frecvente ale utilizatorului în procesul de 
prelucrare şi influenţe în ceea ce priveşte respectarea fluxului 
documentelor 


Există probleme de reconciliere între diversele aplicaţii sau 
chiar în cadrul aceleiaşi aplicații 


LV_Riscuri 


Scalabilitate 


Măsura în care sistemul poate suporta diversificarea 
aplicaţiilor 


Soluţia arhitecturală implementată și de estimările iniţiale 
privind dimensiunea bazei de date şi complexitatea 
prelucrărilor nu permit creşteri semnificative ale volumului 
de tranzacţii generate de schimbări majore în activitatea 
entității 


LV_Riscuri 


Sisteme 
depăşite 


Tehnologia folosită nu este de ultimă generaţie 


Dificultatea sau imposibilitatea adecvării ritmului 
schimbărilor sistemelor informatice cu nivelul tehnologic 


Lipsa unor politici de înlocuire a sistemelor depăşite şi de 
creştere continuă a nivelului tehnologic 
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3.2.4 Schimbări în domeniul sistemelor IT / IS 


Cu toate că în urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa 
de viață el trebuie întreținut, schimbat sau modificat, fapt care poate afecta 
funcționalitatea de bază a acestuia. Revizuirea controalelor schimbării și adaptarea 
acestora sunt necesare pentru a asigura continuitatea sistemelor în ceea ce priveşte 
funcționalitatea şi modul de operare. 
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Tabelul 43 
Schimbări în domeniul IT / IS 


Documente de 


Arii de risc Factori de risc lucru 
Dezvoltarea Lipsa unei metodologii de dezvoltare internă a aplicaţiilor LV Riscuri 
de aplicaţii informatice 
informatice Schimbări neautorizate accidentale sau deliberate ale 

sistemelor 


Termene depăşite pentru rezolvarea unor probleme: 
Raportări şi prelucrări eronate: 

Dificultăţi de întreținere 

Utilizarea de hardware şi software neautorizate 
Probleme privind schimbările de urgență 


Reputația furnizorilor externi IT și a sistemelor folosite 


Noi tehnologii | Dacă schimbările în sistemele IT au în vedere tehnologii de | LV Riscuri 
ultima generație 


Modificări ale | În ce măsură se vor impune în viitorul apropiat modificări | LV Riscuri 
proceselor structurale ale proceselor activităţii care să atragă modificări 
activității ale sistemul informatic 


Dacă este pregătit cadrul legal în acest sens 


3.2.5 Externalizarea serviciilor IT 


Externalizarea serviciilor se referă la furnizarea unor servicii IT, sau conexe acestora, de 
către o organizație independentă de entitatea auditată, prin următoarele forme: contract 
cu o terță parte pentru furnizarea completă a serviciilor IT către entitatea auditată 
(outsourcing), contract cu o terță parte pentru utilizarea curentă și întreținerea 
echipamentelor și a aplicaţiilor care sunt în proprietatea entității auditate, precum și 
contractarea unor servicii punctuale pe criterii de performanţă în funcție de necesități și 
de costurile pieței, asociată cu diminuarea sau eliminarea anumitor părți din structura 
departamentului IT, în cazul în care externalizarea funcțiilor aferente acestora este mai 
eficientă. 


Opţiunea privind externalizarea serviciilor IT trebuie să se bazeze pe o bună cunoaştere a 
pieţei în scopul alegerii celei mai adecvate soluţii privind: reputaţia furnizorilor, costurile 
corelate cu calitatea serviciilor. 
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Tabelul 44 
Externalizarea serviciilor IT 


Arii de risc Factori de risc Documente de 
lucru 


Externalizarea | Nivelul externalizării, incluzând suportul tehnic, operare, | LV Riscuri 
dezvoltare, suport utilizatori etc. 


Drepturi de acces în auditul extern 
Controlul privind securitatea sistemului 
Pierderea flexibilității 

Costul schimbărilor 


Pierderea specialiştilor interni proprii și a expertizei în 
domeniu 


Rezistența personalului 


Furnizorii IT Riscurile care decurg din contractele cu furnizorii LV Riscuri 


Dependenţa de furnizorul de servicii IT 


Dezvoltarea de | În ce măsură aplicaţiile informatice sunt dezvoltate intern LV Riscuri 
aplicaţii i f Ă 
informatice de | Lipsa unui suport metodologic adecvat 


către utilizatori | Ljpsa specialiştilor IT 


3.2.6 Focalizarea pe afacere 


Lansarea unor investiţii în IT, efectuată la începutul unei afaceri sau schimbările necesare 
pe parcursul acesteia vor fi supuse unor analize privind obiectivele investițiilor IT, 
configuraţiile necesare, personalul IT implicat în proiecte, soluţiile de achiziție sau de 
dezvoltare, finanțarea proiectelor, etc. 


Deciziile luate de managementul de vârf al entității în legătură cu direcțiile de dezvoltare 
în domeniul IT trebuie formalizate şi documentate într-un document denumit Strategia IT 
în care se identifică toate proiectele și activităţile IT care vor face obiectul finanțărilor. 


Deciziile și schimbările planificate specificate în strategia IT sunt preluate și detaliate în 
planurile anuale ale departamentului IT. 

Deşi strategia are un efect minimal pentru auditul efectuat pentru o perioadă de un an, ea 
oferă o imagine în legătură cu o perspectivă mai îndelungată (următorii ani) și îl 
avertizează pe auditor în ceea ce priveşte problemele care pot să apară în viitor. 
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Focalizarea pe afacere 


Tabelul 45 


Arii de risc Factori de risc Documente 
de lucru 
Corelaţia între | Obiectivele departamentului IT nu sunt consistente cu LV Riscuri 
strategia IT şi obiectivele întregii afaceri 
Sae Planifi lăad lui IT lizată 
întregii afaceri anificarea anuală a epartamentu ui IT este realizată pe 
baza prevederilor strategiei 
Conștientizarea | În ce măsura conducerea este conștientă de importanţa | LV Riscuri 
conducerii sistemelor IT şi a riscurilor conexe 
privind 
riscurile IT 
Necesităţi Dacă sistemul informatic acoperă necesităţile activităţii | LV Riscuri 
curente curente 
comparativ cu e pă. | p i 
functionalitatea | Flexibilitatea şi adaptabilitatea sistemelor IT 
sistemului Investițiile IT nu constituie cheltuieli care se justifică prin 
informatic 


efectele pe care le au asupra afacerii 


3.2.7 Securitatea informaţiei 


Poziția entității referitoare la securitatea informaţiei trebuie exprimată în Politica de 
securitate IT, care stabileşte cu claritate politicile, principiile şi standardele specifice 
privind securitatea, precum și cerințele de conformitate cu acestea, controalele detaliate 
privind securitatea, responsabilităţile şi sarcinile personalului în ceea ce privește 
securitatea IT, modalităţile de raportare în caz de incidente. 


Tabelul 46 
Securitatea informaţiei 
Arii de risc Factori de risc Documente 

de lucru 

Motivația Tipurile de informaţii gestionate de către fiecare din aplicațiile | LV_Riscuri 

pentru fraudă/ | (subsistemele) informatice 

infracțiuni ; 

(internă şi Dezvăluiri neautorizate prin acces la informații confidențiale 

externa] Măsura în care ar fi afectată reputația instituției în caz de 

fraudă 
Sensibilitatea Cât de confidențiale sunt datele gestionate de către aplicațiile | LV Riscuri 
datelor informatice 


Interesul manifestat pentru informațiile confidențiale 
Deteriorarea imaginii 
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Arii de risc 


Factori de risc 


Documente 
de lucru 


Pierderi financiare 


Legislaţie şi 
regulamente 


Domeniul de activitate este puternic reglementat 


Dezvăluirea neautorizată a informațiilor confidenţiale, 
accidentală sau deliberată 


Contravențţii la legislaţia privind drepturile de proprietate 
intelectuală şi de protecţie a datelor private 


Caracterul anonim al unor utilizatori care vor să contravină 
principiilor accesului în Internet 
+ acțiunile hackerilor, pirateria și pornografia; 
e acțiunea unui software rău intenționat (viruși, 
programe de tip "cal troian") 


LV_Riscuri 


3.2.8 Protecţia fizică a sistemelor IT 


Managementul entității are responsabilitatea de a asigura existența controalelor adecvate 
pentru protejarea bunurilor și a resurselor afacerii. În acest scop trebuie să se implice în 
identificarea amenințărilor asupra sistemelor, a vulnerabilității componentelor sistemului 
şi a impactului pe care îl pot avea aceste incidente asupra afacerii, să identifice măsurile 
adecvate pentru a reduce riscul la un nivel acceptabil. De asemenea, va balansa riscurile 
identificate cu costul implementării controalelor. 
Politica de securitate a entității trebuie să includă considerații privind riscurile accesului 
fizic şi ale deteriorării mediului în care funcționează sistemele de calcul. 


Tabelul 47 
Protecţia fizică a sistemelor IT 
Arii de risc Factori de risc Documente 
de lucru 
Protecţia Măsuri pentru a preveni distrugerea sau deteriorarea LV Riscuri 
fizică accidentală sau intenţionată din partea personalului 


(personalul IT, personalul care asigură curăţenia, personalul 
care asigură securitatea, alți salariați) 


Măsuri pentru a preveni furtul calculatoarelor sau al 
componentelor 


Măsuri pentru a preveni efectele vârfurilor sau căderilor de 
curent electric care pot produce deteriorarea componentelor 
şi pierderea sau alterarea informaţiilor 


Implementarea controalelor accesului logic (parole de acces), 
având acces fizic la server 


Accesul la informaţii "sensibile" sau confidenţiale 


Pag. 114 din 180 


Arii de risc Factori de risc Documente 


de lucru 
oaia Măsuri pentru a preveni distrugeri provocate de foc, apă sau | | 
gura de alte dezastre naturale LV_Riscuri 
condițiilor de 
mediu Măsuri pentru a preveni căderi ale sistemului datorate 


creşterilor sau scăderilor de temperatură sau umiditate 
peste/sub limitele normale admise 


3.2.9 Operarea sistemelor IT 


Rolul și îndatoririle privind operarea sistemelor IT se reflectă în următoarele activități: 


1. Planificarea capacității: asigurarea că sistemele de calcul vor continua să asigure 
servicii cu nivel de performanță satisfăcător pe o perioadă mare de timp. Aceasta 
implică: personal de operare IT, capacitate de calcul și de memorare, capacitate de 
încărcare a rețelei. 


2. Monitorizarea performanței: monitorizarea zilnică a performanței sistemului în 
termenii măsurării timpului de răspuns. 


3. Incărcarea inițială a programelor: inițializarea sistemelor sau instalarea de software 
nou. 


4. Managementul suporților tehnici: include controlul discurilor, al benzilor, al 
discurilor compacte (CD ROM), al dischetelor, etc. 


5. Programarea proceselor de calcul: include programarea proceselor care se 
desfășoară în paralel cu programele curente și efectuează în principal actualizări de 
fişiere. Acestea se execută în general periodic (zilnic, săptămânal, lunar, trimestrial 
sau anual). 


6. Salvări și recuperări în caz de dezastru: salvarea datelor şi a programelor se 
efectuează regulat de către personalul de operare. 


7. Asigurarea suportului (Helpdesk) și managementul problemelor: helpdesk reprezintă 
modalitatea de a face legătura între utilizatori și personalul din departamentul IT, 
ori de câte ori apar probleme în operarea calculatorului. Problemele pot să apară în 
programe individuale (aplicaţii şi sisteme), hardware, sau telecomunicații. 


8. Întreţinerea: se referă atât la hardware, cât şi la software. 


9. Monitorizarea reţelei și administrare: majoritatea calculatoarelor utilizate în afaceri 
sau în administrație funcționează în rețea. Funcţia de operare IT presupune 
responsabilitatea asigurării că legăturile de comunicație sunt întreţinute şi 
furnizează utilizatorilor accesul în reţea la nivelul aprobat. Rețelele sunt în mod 
special importante când organizaţia utilizează schimburi electronice de date. 
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Operarea sistemelor IT 


Tabelul 48 


Arii de risc 


Factori de risc 


Documente 
de lucru 


Managementul 
operaţiilor 


Planificarea capacităţii pentru asigurarea că sistemele de 
calcul vor continua să furnizeze servicii cu nivel de 
performanţă satisfăcător pe o perioadă mare de timp: 
personal de operare IT, capacitate de calcul și de memorare, 
capacitate de încărcare a rețelei 


Monitorizarea zilnică a performanţei sistemului în termenii 
măsurării timpului de răspuns 


Încărcarea iniţială a programelor: iniţializarea sistemelor sau 
instalarea de software nou 


Managementul suporților tehnici: controlul discurilor, al 
benzilor, al discurilor compacte (CD ROM), al dischetelor, etc. 


Programarea proceselor de calcul: programarea proceselor 
care se desfăşoară în paralel cu programele curente şi 
efectuează în principal actualizări de fişiere, periodicitate 


Salvări şi recuperări în caz de dezastru: salvarea datelor şi a 
programelor se efectuează regulat de către personalul de 
operare 


Asigurarea suportului (Helpdesk) și managementul 
problemelor: helpdesk 


Întreţinerea: se referă atât la hardware, cât şi la software. 


Monitorizarea rețelei şi administrare: responsabilitatea 
asigurării că legăturile de comunicație sunt întreținute şi 
furnizează utilizatorilor accesul în rețea la nivelul aprobat 


LV_Riscuri 


Operarea 
sistemelor IT 


Aplicațiile nu se execută corect din cauza operării greşite a 
aplicaţiilor sau a utilizării unei versiuni incorecte, a unor 
parametri de configurare incorecți introduşi de personalul 
de operare 


Pierderea sau alterarea aplicaţiilor financiare sau a fişierelor 
de date datorată utilizării greşite sau neautorizate a unor 
programe utilitare 


Personalul IT nu ştie să gestioneze rezolvarea problemelor 
sau raportarea erorilor din lipsa instruirii sau documentaţiei 


Intârzieri și întreruperi în prelucrare datorate alocării unor 
priorități greşite în programarea sarcinilor 


Lipsa salvărilor şi a planificării incidentelor probabile crește 
riscul incapacității de a continua prelucrarea în urma unui 
dezastru 


Lipsa capacităţii (resurselor) sistemului din cauza 
supraîncărcării 


LV_Riscuri 
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Documente 
de lucru 


Arii de risc Factori de risc 


Timpul mare al căderilor de sistem până la remedierea erorii 


Probleme ale utilizatorilor nerezolvate datorită funcționării 
defectuoase a facilității Helpdesk. 


3.2.10 Dezvoltări efectuate de utilizatorii finali 


Dezvoltările efectuate de utilizatori într-un mediu informatizat este o activitate dificil de 
controlat, întrucât utilizatorii nu adoptă standardele sau bunele practici utilizate de 
specialiștii din departamentul IT. Acest mediu necontrolat poate conduce la consum de 
timp, efort şi costuri suplimentare, precum și la riscuri majore în cazul în care utilizatorii 
care dezvoltă programe prelucrează şi tranzacții financiare. 


În ceea ce priveşte dezvoltarea de sisteme informatice de către utilizatori, auditorul va 
evalua riscurile care decurg din dezvoltarea internă a sistemelor informatice (resurse de 
dezvoltare / implementare / şcolarizare, etc.). Se vor trata diferențiat cazurile în care 
entitatea are un departament IT care are ca atribuţii dezvoltarea de sisteme și aplicaţii, de 
cele în care dezvoltările se fac ad-hoc, fără utilizarea unui suport metodologic adecvat și 
fără participarea unor specialiști cu atribuţii definite în acest domeniu. 


Tabelul 50 
Dezvoltări efectuate de utilizatori 
Arii de risc Factori de risc Documente 
de lucru 
Dezvoltări Amploarea aplicațiilor dezvoltate de către utilizatori LV Riscuri 


efectuate de | Dezvoltarea programelor de către utilizatori este realizată de 
utilizatori personal lipsit de experienţă, neinstruit în dezvoltarea de sisteme 
software şi lipsit de asistență de specialitate din partea 
departamentului IT 


Protejarea informațiilor față de accesul utilizatorilor 


Datele extrase din aplicaţiile de baza sunt supuse unor prelucrări 
manuale ulterioare 


Duplicarea efortului rezultă din efectuarea unor sarcini care se 
execută și în departamentul de informatică pentru rezolvarea 
aceleiași probleme, în lipsa unei coordonări unitare 


Inconsistenţa datelor datorită utilizării sistemului distribuit care 
prelucrează date inconsistente din departamente diferite 


Creșterea costurilor de utilizare a serviciilor IT (cerinţele de 
instruire suplimentare; o mai mare solicitare a serviciilor 
helpdesk; alte costuri adiționale ascunse aferente timpului 
suplimentar pe care utilizatorul îl folosește pentru rezolvarea 
problemelor, comparativ cu specialiştii IT, sistemele dezvoltate 
de utilizatori au tendinţa de a utiliza mai puţin eficient resursele 


de calcul) 


Pag. 117 din 180 


Arii de risc 


Factori de risc 


Documente 
de lucru 


Conformitatea cu legislaţia. În lipsa unei legături cu 
departamentul IT, utilizatorii riscă să nu respecte legislaţia 
asociată domeniului IT (utilizarea calculatoarelor, memorarea 
informațiilor cu caracter personal sau secrete, drepturile de 
proprietate intelectuală) și sunt tentaţi să utilizeze software 
neautorizat 


Pierderea datelor se poate datora următoarelor motive: virusarea 
calculatoarelor, securitatea accesului logic sau fizic 


Conducerea nu este conştientă de riscurile dezvoltărilor efectuate 
de utilizatori 
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Capitolul 4. Evaluarea mediului informatizat 
în entităţile mici 


4.1 Evaluarea mediului informatizat cu calculatoare PC 
individuale 


Calculatoarele individuale, neinstalate în rețea pot fi utilizate pentru procesarea 
tranzacţiilor contabile şi obținerea de rapoarte care sunt esențiale pentru întocmirea 
situaţiilor financiare. Pe aceste calculatoare poate fi operaţional întregul sistem financiar 
contabil sau numai o parte a acestuia. 


Având în vedere complexitatea redusă, mediile IT în care sunt utilizate calculatoare 
individuale neinstalate în reţea sunt diferite de mediile IT complexe, prin faptul că 
anumite controale și măsuri de securitate care sunt folosite pentru sistemele mari pot să nu 
fie aplicabile în cazul calculatoarelor individuale. 

Pe de altă parte, anumite tipuri de controale interne devin mai importante datorită 
particularităţilor implementării și utilizării calculatoarelor în mod individual şi anume: 


e Calculatoarele neinstalate în rețea pot fi operate de un singur utilizator sau de mai 
mulți utilizatori la momente diferite, care accesează același program sau programe 
diferite de pe acelaşi calculator. 


e Utilizatorul unui calculator neinclus în rețea care procesează aplicații contabile 
desfășoară, în multe situații, activități care în mod normal necesită separare de 
atribuții (de exemplu, introducerea de date și operarea programelor de aplicaţii). 
Deși, în mod normal, utilizatorii nu au cunoştinţe de programare, ei pot utiliza 
pachete de programe proprii sau furnizate de terți, cum ar fi foi de lucru 
electronice sau aplicații de baze de date, și, implicit, pot altera informaţiile din 
aplicaţia financiar-contabilă. 


e Structura organizaţională în cadrul căreia este utilizat un calculator neinclus în 
rețea este importantă pentru evaluarea riscurilor și a dimensiunii controalelor 
cerute pentru reducerea acelor riscuri. Eeficiența controalelor asociate unui 
calculator neinclus în reţea utilizat în cadrul unei organizații mai mari poate 
depinde de o structură organizatorică ce separă în mod clar responsabilitățile şi 
restricționează utilizarea calculatorului respectiv pentru anumite funcții specifice, 
în timp ce pentru o organizaţie mică, separarea atribuţiilor la nivelul utilizării 
calculatorului, nefiind posibilă. 


e Multe calculatoare pot fi folosite ca parte a unei reţele sau în mod individual. In 
primul caz, auditorul ia în considerare riscurile suplimentare induse de accesul în 
rețea. 


4.1.1 Particularităţile auditului în medii cu calculatoare individuale 


Calculatoarele personale (PC) sunt orientate spre utilizatori finali individuali. Gradul de 
acuratețe și credibilitatea informațiilor financiare depind, parțial, de controalele interne 
pe care utilizatorul le adoptă fie voluntar, fie pentru că au fost prescrise de către 
conducere. Procedurile de control implementate sunt corelate cu complexitatea mediului 
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de afaceri în care operează calculatoarele personale, acesta fiind mai puţin structurat 
decât un mediu IT complex, şi, în consecință, nivelul controalelor generale fiind mai 
scăzut. 


Auditul în medii cu calculatoare individuale se va axa pe următoarele direcții: 


a) Evaluarea procedurilor şi politicilor organizaționale 

Pentru obținerea unei înțelegeri a mediului de control IT pentru calculatoarele neinstalate 
în rețea, auditorul ia în considerare structura organizatorică a entității și, în special, 
alocarea responsabilităților referitoare la prelucrarea datelor. Politicile și procedurile 
eficiente de achiziție, implementare, operare și întreținere a calculatoarelor neincluse în 
rețea pot îmbunătăți mediul de control general. Lipsa unor astfel de politici poate conduce 
la utilizarea de către entitate a programelor expirate şi la erori în datele și informațiile 
generate de astfel de programe, ducând în același timp și la un risc crescut de apariţie a 
fraudei. Astfel de politici şi proceduri includ următoarele: 


Standarde referitoare la achiziţie, implementare și documentare; 
Programe de pregătire a utilizatorilor; 

Recomandări cu privire la securitate, copii de back-up și stocare; 
Gestiunea parolelor; 

Politici privind utilizarea personală; 

Standarde referitoare la achiziționarea și utilizarea produselor software; 
Standarde de protecţie a datelor; 

Întreţinerea programului și suport tehnic; 

Un nivel corespunzător de separare a sarcinilor și responsabilităților; 
Protecţie împotriva viruşilor. 


b) Evaluarea protecţiei fizice a echipamentelor 

Din cauza caracteristicilor lor fizice, calculatoarele neinstalate în rețea și mediile lor de 
stocare sunt susceptibile de furt, deteriorare fizică, acces neautorizat sau utilizare greșită. 
Protecţia fizică se realizează prin următoarele metode: 


e Închiderea lor într-o cameră, într-un dulap de protecţie sau într-un înveliș 
protector; 

e Utilizarea unui sistem de alarmă care este activat ori de câte ori calculatorul este 
deconectat sau deplasat de la locul lui; 

Fixarea calculatorului de o masă; 
Politici care să menţioneze procedurile corecte care trebuie urmate atunci când se 
călătoreşte cu un laptop sau când acesta se foloseşte în afara biroului; 

e  Criptarea fişierelor cheie; 

e Instalarea unui mecanism de închidere pentru a controla accesul la întrerupătorul 
de pornire/oprire al calculatorului. Acesta nu poate să prevină furtul 
calculatorului, dar poate preveni folosirea neautorizată a acestuia; 

e Implementarea controalelor de mediu pentru prevenirea daunelor de pe urma 
dezastrelor naturale, cum ar fi incendii, inundaţii etc. 


c) Evaluarea protecţiei fizice a mediilor portabile şi fixe 

Programele şi datele instalate pe un calculator pot fi stocate pe medii de stocare portabile 
(dischetă, CD, stik) şi fixe (hard-disk). În plus, componentele interioare ale multor 
calculatoare, în special ale laptop-urilor sunt ușor accesibile. Atunci când un calculator 
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este folosit de mai multe persoane, este mai probabil ca mediile de stocare să fie pierdute, 
modificate fără autorizare sau distruse. 


Este responsabilitatea utilizatorului să protejeze mediile portabile de stocare, de exemplu 
prin păstrarea copiilor de rezervă curente ale acestora, într-o altă locație protejată. 
Această situaţie se aplică în mod egal sistemului de operare, programelor de aplicații și 
datelor. 


d) Evaluarea securităţii programelor și a datelor 

Atunci când calculatoarele sunt accesibile mai multor utilizatori, există riscul ca sistemul 
de operare, programele și datele să poată fi modificate fără autorizare, sau ca utilizatorii 
să îşi instaleze propriile versiuni ale programelor, dând naștere unor potenţiale probleme 
legate de licențele software. 


Gradul de control şi restricțiile de securitate prezente în sistemul de operare al unui 
calculator pot să varieze. Deşi unele sisteme de operare evoluate conţin proceduri 
complexe de securitate încorporate, cele utilizate la calculatoarele individuale nu conțin 
astfel de protecţii. Cu toate acestea, există tehnici care oferă asigurarea că datele sunt 
procesate și citite numai în mod autorizat și că distrugerea accidentală a datelor este 
prevenită, limitând accesul la programe și date doar personalului autorizat: 


1. Folosirea parolelor este o tehnică de control eficientă care se bazează pe utilizarea 
profilelor şi a parolelor, care controlează accesul permis unui utilizator. De exemplu, 
unui utilizator i se poate atribui un profil protejat de o parolă, care să permită doar 
introducerea de date, iar calculatorul poate fi configurat astfel încât să solicite parola 
înainte de putea fi accesat. 


2. Implementarea unui pachet de control al accesului poate furniza un control eficient 
asupra accesului şi utilizării sistemelor de operare, programelor şi fişierelor de date. 
De exemplu, numai unui anumit utilizator i se poate acorda accesul la fişierul cu parole 
sau i se poate permite să instaleze programe. Astfel de pachete pot, de asemenea, să 
examineze cu regularitate programele existente pe calculator pentru a detecta dacă 
sunt utilizate programe sau versiuni ale programelor neautorizate. 


3. Utilizarea mediilor de stocare portabile pentru programele sau fişierele de date 
esențiale sau sensibile poate furniza o protecție sporită prin depozitarea acestora în 
locaţii protejate şi sub control independent atât cât este necesar. De exemplu, datele 
referitoare la salarii pot fi păstrate pe un mediu portabil şi utilizate numai atunci când 
este necesară procesarea acestora. 


4. Folosirea de fișiere și directoare ascunse. Salvarea programelor şi a datelor din 
calculatoarele care dispun de medii portabile de stocare (de exemplu, dischete, CD-uri 
şi stik-uri) constituie o modalitate eficientă de păstrare a acestora în condiţii de 
securitate. Mediile de stocare sunt apoi depozitate în custodia bibliotecarilor de fișiere 
sau a utilizatorilor responsabili pentru datele sau programele respective. 


5. Criptografia este o tehnică folosită, în general, atunci când date sensibile sunt 
transmise pe linii de comunicație, dar poate fi folosită şi în cazul informaţiei stocate pe 
un calculator individual. 


e) Evaluarea continuității sistemului 
Intr-un mediu cu calculatoare neinstalate în rețea, conducerea se bazează, în mod 
obişnuit, pe utilizator pentru a asigura disponibilitatea continuă a sistemelor în caz de 
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nefuncționare, pierdere sau distrugere a echipamentului, sistemului de operare, 
programelor sau datelor. Acest lucru presupune: 


(a) Păstrarea de către utilizator a copiilor sistemelor de operare, programelor şi 
datelor, depozitând cel puţin o copie într-un loc sigur, departe de calculator; și 


(b) Un acces disponibil la un echipament alternativ într-un interval de timp rezonabil, 
având în vedere utilizarea și importanţa sistemului de bază. 


4.1.2 Efectul utilizării calculatoarelor individuale asupra sistemului 
financiar contabil 


Efectul utilizării calculatoarelor individuale asupra sistemului financiar contabil, precum 
şi riscurile asociate vor depinde în general de următoarele aspecte: 
(a) Măsura în care calculatorul este folosit pentru a procesa aplicaţiile financiar 
contabile; 
(b) Tipul și importanţa tranzacţiilor financiare care sunt procesate; şi 
(c) Natura programelor şi a datelor utilizate în aplicaţii. 


Particularitățile controalelor generale și ale controalelor aplicațiilor aferente mediului 
informatizat decurg, în acest context, din următoarele considerente: 


a) Controale generale IT 


Cel mai important aspect îl reprezintă separarea sarcinilor, care într-un mediu de 
calculatoare individuale este greu de realizat având în vedere amploarea redusă a 
sistemului și numărul redus de personal implicat în activități IT (instalare, administrare, 
operare, întreținere etc.), în cele mai multe cazuri, aceeași persoană îndeplinind toate 
aceste sarcini. De asemenea, utilizatorii pot derula în sistemul financiar contabil, în 
general, două sau mai multe dintre următoarele funcții: 

(a) Inițierea de documente sursă; 

(b) Autorizarea de documente sursă; 

(c) Introducerea de date în sistem; 

(d) Procesarea datelor introduse; 

(e) Schimbarea programelor şi a fişierelor de date; 

(f) Folosirea sau distribuirea rezultatelor; 

(g) Modificarea sistemelor de operare. 
Mai mult decât atât, în foarte multe cazuri, aceste activități sunt îndeplinite de persoane 
din afara entității. Din din aceste motive, multe erori pot să tracă neobservate și se poate 
permite comiterea și ascunderea fraudelor. 


b) Controale ale aplicaţiilor 


Existenţa și folosirea controalelor de acces adecvate asupra programelor și fișierelor de 
date, combinate cu controlul asupra intrărilor, procesării și ieşirilor de date poate, în 
conformitate cu politicile conducerii, să compenseze unele dintre carențele controalelor 
generale în mediile de calculatoare. Implementarea unor controalele eficiente la acest 
nivel (proceduri manuale sau automate, reguli, norme, instrucţiuni) contribuie la 
creşterea eficacității sistemului de control al mediului informatizat și se poate realiza prin 
următoarele tehnici: 
e proceduri de control programate; 


Pag. 122 din 180 


e utilizarea și monitorizarea unui sistem de jurnale ale tranzacţiilor, incluzând 
urmărirea şi soluționarea oricăror excepții; 

e supravegherea directă, de exemplu, o analiză a rapoartelor; 

e reconcilierea numărătorilor înregistrărilor sau utilizarea totalurilor de control. 


In acest context, controlul se poate implementa prin desemnarea unei persoane căreia i se 
va aloca o funcţie independentă cu următoarele atribuţii: 


(a) Va primi toate datele pentru procesare; 

(b) Va asigura că toate datele sunt autorizate și înregistrate; 

(c) Va urmări toate erorile detectate în timpul procesării; 

(d) Va verifica distribuirea corespunzătoare a rezultatelor obţinute; 

(e) Va limita accesul fizic la programele de aplicaţii și la fișierele de date. 


4.1.3 Efectul unui mediu cu calculatoare individuale asupra 
procedurilor de audit 


Într-un mediu informatizat cu calculatoare individuale poate să nu fie practicabil sau 
rentabil pentru conducere să implementeze controale suficiente pentru a reduce riscurile 
erorilor nedetectate la un nivel minim. În astfel de situaţii, după obţinerea înţelegerii 
sistemului contabil și a mediului de controls, auditorul, pe baza raționamentului 
profesional, poate considera că este mai rentabil să nu efectueze o analiză suplimentară a 
controalelor generale sau a controalelor aplicaţiilor, și poate adopta una dintre 
următoarele abordări: 
- Efectuarea auditului situaţiilor financiare în manieră tradiţională (manuală), în 
cazul în care consideră ca informaţiile furnizate de sistemul informatic nu sunt de 
încredere; 


- Utilizarea unei abordări mixte (metode manuale combinate cu proceduri automate), 
caz în care își va concentra eforturile asupra procedurilor de fond. Aceasta poate 
determina o examinare fizică și o confirmare suplimentară a activelor, mai multe 
teste ale tranzacţiilor, mărimi mai mari ale eșantioanelor și folosirea într-o măsură 
mai mare a tehnicilor de audit asistat de calculator. 


Dacă nivelul controalelor generale pare a fi adecvat, auditorul poate decide adoptarea 
unei abordări diferite, stabilind proceduri care reduc riscul de control. 


Calculatoarele neinstalate în reţea se întâlnesc în mod frecvent în entităţile mici. Pe baza 
unei analize preliminare a controalelor, planul de audit ar putea include testări ale 
controalelor pe care auditorul intenționează să se bazeze. 


4.2 Efectul implementării și utilizării sistemelor de gestiune a 
bazelor de date (SGBD) asupra sistemului financiar contabil 


Gestionarea resurselor de date creează un control organizațional esențial pentru 
asigurarea integrităţii şi compatibilității datelor. Într-un mediu cu baze de date metodele 
de control informaţional și utilizare se schimbă de la o abordare orientată pe aplicații 
către o abordare organizaţională extinsă. În contrast cu sistemele tradiționale în care 
fiecare aplicație este un sistem separat cu propria raportare și propriile controale, într-un 


3 cerută de ISA 400 „Evaluarea riscurilor şi controlul intern” 
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mediu de bază de date, multe controale pot fi centralizate iar baza de date este proiectată 
pentru a servi necesităților informaționale integrale ale organizaţiei. 


Utilizarea acelorași date de către diferite programe de aplicaţii subliniază importanța 
coordonării centralizate a utilizării și definirii datelor precum și a menţinerii integrității, 
securității, exhaustivităţii și exactității acestora. Gestionarea resurselor de date este 
necesară pentru a promova integritatea datelor și include o funcție de administrare a 
bazei de date care se ocupă în principal cu implementarea tehnică a bazei de date, cu 
operațiunile zilnice precum și cu politicile și procedurile care guvernează accesarea 
acesteia și utilizarea zilnică. În general, administrarea bazei de date este responsabilă cu 
definirea, structurarea, securitatea, controlul operaţional şi eficientizarea bazelor de date, 
inclusiv definirea regulilor de accesare şi stocare a datelor. 


4.2.1 Particularităţile controlului intern aferent mediului cu baze de 
date 


Pentru menţinerea integrității, exhaustivităţii şi securității datelor este necesară 

proiectarea, implementarea şi impunerea reglementărilor privind integritatea, 

exhaustivitatea şi a accesul la informații. Aceste responsabilități includ: 

- Stabilirea persoanei responsabile cu monitorizarea datelor şi a modului în care se 
va desfășura această monitorizare; 

- Stabilirea celor care au acces la date şi a modului în care este realizat accesul (de 
exemplu, cu ajutorul parolelor și a tabelelor de autorizare); 

- Prevenirea includerii de date incomplete sau eronate; 

- Detectarea absenței datelor; 

- Securizarea bazei de date față de accesul neautorizat sau distrugeri; 

- Monitorizarea și urmărirea incidentelor de securitate precum și realizarea regulată 
de back-up-uri; 

- Asigurarea unei recuperări totale în caz de pierderi de date. 


Particularitățile controlului intern aferent mediului informatizat decurg din următoarele 
considerente: 


1. Deoarece infrastructura de securitate a unei entități joacă un rol important în 
asigurarea integrităţii informaţiilor produse, auditorii iau în considerare acest 
factor, înaintea examinării controalelor generale și ale aplicaţiilor. În general, 
controlul intern într-un mediu cu bază de date solicită controale eficiente ale bazei 
de date, ale SGBD-ului și ale aplicaţiilor. Eficacitatea controalelor interne depinde 
în mare măsură de natură administrarea bazei de date. 


2: Într-un sistem de baze de date, controalele generale privind baza de date, SGBD şi 
administrarea bazei de date au un efect esențial asupra aplicaţiilor. Aceste 
controale pot fi clasificate după cum urmează: 


(a) Utilizarea unei metode standard pentru dezvoltarea şi menținerea 
programelor de aplicaţii; 

(b) Proiectarea unui model al datelor și stabilirea proprietarilor datelor; 

(c) Stabilirea accesului la baza de date; 

(d) Separarea sarcinilor; 

(e) Gestionarea datelor; 

(f) Implementarea procedurilor privind securitatea datelor şi recuperarea 
datelor. 
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a) Metoda standard pentru dezvoltarea şi menţinerea programelor de aplicaţii 


Utilizarea unei metode standard pentru a dezvolta fiecare nou program de aplicaţii și 
pentru a modifica programele de aplicații existente, poate creşte eficiența controlului. 
Aceasta va include o metodă formalizată, pas cu pas, pe care fiecare persoană în parte 
trebuie să o urmeze atunci când dezvoltă sau modifică un program de aplicaţii. De 
asemenea include analiza efectelor tranzacţiilor noi sau existente asupra bazei de date de 
fiecare dată când este necesară o modificare, analiză din care vor rezulta efectele 
modificării asupra securității sau integrității bazei de date. 

Implementarea unei metode standard pentru a dezvolta sau modifica programele de 
aplicaţii este o tehnică care ajută la îmbunătăţirea acurateții, exhaustivităţii și integrităţii 
bazei de date. Cele mai relevante controale, specifice pentru atingerea acestui scop, sunt: 


e Definirea standardelor de conformitate pentru monitorizare; 

° Stabilirea şi implementarea procedurilor de back-up al datelor și de 
recuperare pentru a asigura disponibilitatea bazei de date; 

° Stabilirea diferitelor niveluri de control ale accesului pentru date, tabele și 
fişiere pentru a se preveni accesul neadecvat şi neautorizat; 

° Stabilirea controalelor pentru a asigura acuratețea, încrederea și 


exhaustivitatea datelor. În multe cazuri, proiectarea sistemului poate să nu 
furnizeze întotdeauna utilizatorilor controale care să dovedească 
exhaustivitatea și acuratețea datelor și astfel poate apărea un risc crescut 
ca SGBD să nu identifice întotdeauna coruperea datelor; 

° Implementarea procedurilor privind reproiectarea bazei de date, ca urmare 
a modificărilor logice, fizice și procedurale. 


b) Modelul datelor şi proprietatea datelor 


Într-un mediu cu bază de date, unde mai multe persoane pot utiliza programe pentru a 
introduce şi modifica date, administratorul bazei de date trebuie să se asigure că există o 
repartizare clară și definită a responsabilității pentru asigurarea acurateţei și integrităţii 
datelor pentru fiecare categorie de informaţii. Responsabilitatea pentru definirea 
accesului și a regulilor de securitate, cum ar fi de exemplu, drepturile de utilizare a datelor 
(accesul) și funcţiile pe care le poate executa (securitatea) trebuie alocată unei singure 
persoane. Desemnarea unor responsabilități specifice pentru deținerea datelor ajută la 
asigurarea integrității bazei de date. Dacă diferite persoane pot lua decizii care afectează 
acuratețea și integritatea datelor respective, probabilitatea ca datele să fie alterate sau 
utilizate impropriu, crește. Controalele asupra profilului utilizatorilor sunt de asemenea 
importante atunci când se utilizează un sistem cu bază de date, nu doar pentru a stabili 
accesul autorizat dar şi pentru a detecta violările și tentativele de violare a protocoalelor 
de securitate. 


c) Accesarea bazei de date 


Accesul utilizatorilor la baza de date poate fi restricționat prin controalele de acces. 
Aceste restricții se aplică persoanelor, terminalelor şi programelor. Pentru ca parola să fie 
eficientă, sunt necesare anumite proceduri adecvate pentru modificarea parolelor, 
menținerea secretului parolelor și revizuirea sau investigarea încercărilor de violare a 
protocoalelor de securitate. Conexarea parolelor cu anumite stații de lucru, programe sau 
date este necesară pentru a asigura accesul, modificarea sau ştergerea datelor doar de 
către persoane autorizate. Utilizarea tabelelor de autorizare generate pentru securizarea 
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bazei de date poate asigura un control în plus asupra accesării diferitelor informații de 
către utilizator. Implementarea improprie a procedurilor de acces poate avea ca rezultat 
accesul neautorizat la baza de date. 


d) Separarea sarcinilor 


Responsabilităţile pentru efectuarea diferitelor activităţi necesare pentru a proiecta, 
implementa şi opera o bază de date sunt divizate între personalul tehnic, proiectant, 
administrativ şi utilizator. Îndatoririle acestora includ proiectarea sistemului, proiectarea 
bazei de date, administrarea şi operarea. Menţinerea unei separări adecvate a acestor 
îndatoriri este absolut necesară pentru asigurarea integrității, exhaustivității şi acurateţei 
bazei de date. De exemplu, persoanele responsabile cu modificarea programelor de baze 
de date care conțin informaţii despre personal, nu vor fi aceleași persoane care sunt 
autorizate să efectueze modificări individuale ale plăţilor salariale în baza de date. 


e) Securitatea datelor şi recuperarea bazei de date 


Există o probabilitate crescută ca bazele de date să fie utilizate de diferiți utilizatori în 
diferite zone ale operaţiunilor entității, ceea ce însemnă că aceste zone din cadrul entității 
vor fi afectate în cazul în care datele nu sunt accesibile sau conţin erori. De aici decurge 
nivelul înalt de importanță al controalelor generale privind securitatea datelor şi 
recuperarea bazelor de date. 


4.2.2 Efectul utilizării bazelor de date asupra sistemului financiar 
contabil 


Efectul utilizării bazelor de date asupra sistemului financiar contabil, precum și riscurile 
asociate vor depinde în general de următoarele aspecte: 
° Măsura în care este utilizată baza de date de aplicațiile contabile; 
Tipul și importanţa tranzacţiilor financiare care sunt procesate; 
Natura și structura bazei de date, SGBD; 
Administrarea bazei de date și a aplicaţiilor; 
Controalele generale referitoare la baza de date şi ale aplicațiilor. 


Sistemele cu baze de date oferă în mod obișnuit o mai mare credibilitate a datelor față de 
aplicaţiile bazate pe fişiere de date. În astfel de sisteme, controalele generale au o 
importanță mai mare decât controalele aplicaţiilor, ceea ce implică reducerea riscului de 
fraudare sau eroare în sistemele contabile în care sunt utilizate bazele de date. Următorii 
factorii, în combinație cu controalele adecvate, contribuie la o credibilitate sporită a 
datelor. 


° Este asigurată o coerență crescută a datelor deoarece acestea sunt 
înregistrate şi actualizate o singură dată, şi nu stocate în mai multe fișiere și 
actualizate de mai multe ori de către diferite programe. 


° Integritatea datelor va fi îmbunătățită de utilizarea eficientă a facilităților 
incluse în SGBD (rutine de recuperare / restartare, editare generalizată, 
rutine de validare, caracteristici de control și securitate. 


° Alte funcții disponibile în cadrul SGBD pot facilita procedurile de control și 
audit (generatoare de rapoarte, care pot fi utilizate pentru a crea rapoarte 
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bilanţiere, şi limbaje de investigare care pot fi utilizate pentru a identifica 
inconsecvenţele din date). 


Riscul denaturării poate crește în cazul în care sistemele baze de date sunt utilizate fără 
un control adecvat. Într-un mediu cu fişiere de date, controalele efectuate de către 
utilizatori individuali pot compensa slăbiciunile controlului general. Într-un sistem cu 
baze de date, utilizatorii individuali nu pot compensa întotdeauna controalele neadecvate 
ale administrării bazei de date. De exemplu, personalul responsabil cu creanțele nu poate 
exercita un control eficace al datelor din conturile de creanţe dacă restul personalului nu 
are restricție privind modificarea soldurile conturilor de creanţe din baza de date. 


4.2.3 Efectul utilizării bazelor de date asupra procedurilor de audit 


Procedurile de audit într-un mediu cu baze de date vor fi afectate în principal de măsura 
în care sistemul contabil utilizează informaţii din bazele de date. În cazul în care aplicaţiile 
financiar contabile utilizează o bază de date comună, auditorul poate considera că este 
eficient din punctul de vedere al costului să utilizeze unele dintre procedurile prezentate 
în continuare. 


a) Când planifică un audit financiar, pentru a înţelege mediul de control al bazei de date și 
fluxul de tranzacții, auditorul este posibil să ia în considerare efectul următorilor factori, 
asupra riscului de audit. 


° Controalele de acces relevante. Este posibil ca baza de date să fie utilizată de 
persoane din afara sistemului contabil tradițional şi astfel auditorul va trebui să ia 
în considerare controlul accesului asupra datelor contabile și al tuturor celor care 
ar fi putut avea acces la acestea. 

° SGBD și aplicaţiile contabile importante care utilizează baza de date. Este posibil ca 
alte aplicații din cadrul entității să genereze sau să altereze date utilizate de 
aplicaţiile contabile. Auditorul va evalua modul în care SGBD controlează aceste 
date. 

° Standardele și procedurile pentru dezvoltarea și menţinerea programelor de aplicații 
care utilizează baza de date. Bazele de date, mai ales cele care se găsesc pe 
calculatoare individuale, pot fi adesea proiectate și implementate de persoane din 
afara departamentului IT sau a celui contabil. Auditorul va evalua modul în care 
entitatea controlează dezvoltarea acestor baze de date. 


° Funcţia de gestionare a datelor. Această funcție joacă un rol important în 
menținerea integrității informațiilor stocate în baza de date. 
° Fişele posturilor, standardele și procedurile pentru persoanele responsabile cu 


suportul tehnic, proiectarea, administrarea şi operarea bazei de date. Este posibil 
ca în cazul sistemelor cu baze de date, un număr sporit de persoane să aibă 
responsabilități majore legate de informaţii şi date, spre deosebire de sistemele cu 
fişiere tradiționale. 


° Procedurile utilizate pentru a asigura integritatea, securitatea și exhaustivitatea 
informaţiilor financiare conținute în baza de date. 

° Disponibilitatea facilităților de audit din cadrul SGBD utilizat. 

° Procedurile utilizate pentru introducerea noilor versiuni de baze de date în cadrul 
sistemului. 


b) La determinarea gradului de încredere acordat controalelor interne privitoare la 
utilizarea bazelor de date în sistemul contabil, auditorul va lua în considerare modul în 
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care acestea sunt utilizate. Dacă ulterior auditorul decide să se bazeze pe aceste 
controale, el va proiecta și efectua teste corespunzătoare. 


c) Atunci când auditorul decide efectuarea unor teste ale controalelor sau teste detaliate 
de audit privitoare la sistemul cu bază de date, în cele mai multe cazuri va fi mai eficientă 
realizarea acestora cu ajutorul tehnicilor de audit asistat de calculator. Faptul că datele 
sunt stocate integral într-un singur loc şi organizate într-o manieră structurată face ca 
extragerea probelor să fie mai simplă. De asemenea, este posibil ca bazele de date să 
conţină date generate în afara funcției contabile, ceea ce va face ca efectuarea aplicaţiei 
procedurilor analitice să fie mult mai eficientă. 


d) Procedurile de audit pot include utilizarea funcțiilor SGBD pentru rezolvarea 
următoarelor probeme, după ce, în prealabil, s-a verificat dacă acestea funcționează 
corect: 


- Testarea controalelor de acces; 

- Generarea datelor de testare; 

- Furnizarea unui proces de audit; 

- Verificarea integrității bazei de date; 

- Furnizarea accesului la informaţiile din baza de date sau a unei copii a părților 
relevante din baza de date, pentru a face posibilă utilizarea de produselor software 
de audit; 

- Obţinerea informaţiilor necesare auditului. 


e) În cazul în care controalele privind administrarea bazei de date sunt neadecvate, este 
posibil ca auditorul să nu poată compensa aceste controale slabe indiferent de cât de 
multă muncă va depune. Prin urmare, atunci când devine clar că nu se poate baza pe 
controalele din sistem, auditorul va lua în considerare necesitatea de a efectua teste 
detaliate de audit asupra tuturor aplicaţiilor contabile importante care utilizează baza de 
date și va decide dacă aceste proceduri sunt suficiente pentru atingerea obiectivelor 
auditului. În cazul în care auditorul nu poate compensa slăbiciunile din mediul de control 
prin teste detaliate pentru a reduce riscul de audit la un nivel cât mai redus, acceptabil, 
standardul ISA 700 solicita ca auditorul să emită o opinie cu rezerve, sau să se declare în 
imposibilitatea de a exprima o opinie. 


f) Caracteristicile sistemelor cu baze de date pot face mai eficientă pentru auditor 
efectuarea unor revizuiri pre-implementare a noilor aplicații contabile decât revizuirea 
aplicaţiilor după ce acestea au fost instalate. Aceste revizii pre-implementare și revizii ale 
procesului de modificare a gestionării pot furniza auditorului oportunitatea de a solicita 
noi funcţii, cum ar fi rutine încorporate sau controale adiționale în proiectarea aplicaţiei. 
De asemenea, poate oferi suficient timp auditorului pentru a dezvolta și testa proceduri de 
audit înaintea utilizării sistemului. 


În cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa 
prin desemnarea unei persoane căreia i se va aloca o funcţie independentă cu atribuţii 
legate de definirea accesului și a regulilor de securitate, sau, în cazul în care nu există 
personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionarea 
sistemului informatic. 
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4.3 Utilizarea tehnicilor de audit asistat de calculator în mediile 
IT ale entităţilor mici 


Tehnicile de audit asistat de calculator pot fi utilizate în executarea unor proceduri, cum 
ar fi: 

Testarea detaliilor tranzacţiilor și balanţelor; 

Procedure de revizuire analitică; 

Teste de conformitate a controalelor IT generale; 

Teste de conformitate a controalelor de aplicaţie; 

Teste de penetrare. 


Luarea deciziei de a utiliza tehnici de audit asistat de calculator se bazează pe o serie de 
factori care sunt luaţi în considerare: 
e  Cunoșştinţele, expertiza și experienţa auditorului IT; 
e Disponibilitatea unor programe de audit asistat de calculator și a facilităților IT 
necesare; 
e Eficienţa şi eficacitatea utilizării tehnicilor de audit asistat de calculator față de 
tehnicile manuale; 
e  Restricţiilede timp; 
e  Integritatea sistemului informatic și a mediului IT; 
e Nivelul riscului de audit. 


Pașii principali care trebuie întreprinşi de către auditor în cazul utilizării tehnicilor de 
audit asistat de calculator sunt: 


(a) Stabilirea obiectivului aplicației de audit asistat de calculator; 

(b) Determinarea conținutului și a accesibilităţii la fișierele entității; 

(c) Identificarea fişierelor sau bazelor de date specifice care urmează a fi 
examinate: 

(d) Înțelegerea relaţiilor dintre tabelele de date, acolo unde urmează să fie 
examinată o bază de date; 

(e) Definirea testelor sau a procedurilor specifice, precum şi a tranzacţiilor şi 
soldurilor aferente afectate; 

(f) Definirea cerințelor cu privire la ieşirile de date; 

(g) Stabilirea împreună cu utilizatorul și cu personalul IT, dacă este cazul, a 
modalității de efectuare şi a formatului unor copii ale fișierelor şi bazelor de 
date relevante la o dată şi un moment adecvate (corelate cu separarea 
exerciţiilor); 

(h) Identificarea personalului care poate participa la proiectarea şi aplicarea 
procedurilor de audit asistat de calculator; 

(i) Perfecţionarea estimărilor costurilor şi beneficiilor; 

(j) Asigurarea că utilizarea programelor de audit asistat de calculator este 
controlată şi documentată corespunzător; 

(k) Organizarea activităților administrative, inclusiv cu privire la aptitudinile 
necesare și facilităţile informatizate; 

(1) Reconcilierea datelor care vor fi utilizate pentru programul de audit asistat de 
calculator cu înregistrările contabile; 

(m) Executarea aplicației de audit asistat de calculator; 

(n) Evaluarea rezultatelor. 
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În cazul mediilor IT existente în entităţile mici, nivelul controalelor generale poate fi scăzut, 
astfel încât auditorul se va baza mai puţin pe sistemul de control intern. Această situație va 
avea ca rezultat un accent mai mare pus pe teste ale detaliilor tranzacţiilor și soldurilor și 
pe procedurile analitice de revizuire, care pot crește eficacitatea tehnicilor de audit asistat 
de calculator. 


In cazul în care sunt procesate volume mici de date, metodele manuale pot fi mai 
rentabile. 


In multe cazuri, s-ar putea ca auditorul să nu aibă la dispoziție asistenţa tehnică adecvată 
din partea entității, în cazul unei entităţi mai mici, acest lucru făcând imposibilă folosirea 
tehnicilor de audit asistat de calculator. 


Anumite pachete de programe de audit ar putea să nu funcţioneze pe calculatoare mici, 
limitându-se astfel alegerea tehnicilor de audit asistat de calculator de către auditor. În 
astfel de situaţii, dacă este posibil, fişierele de date ale entității pot fi copiate și procesate pe 
un alt calculator corespunzător. 
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Capitolul 5. Documente de lucru 


Pentru obţinerea probelor de audit se vor utiliza liste de verificare, machete şi, după caz, 
chestionare şi se vor realiza interviuri cu: persoane din conducerea instituției auditate, 
personalul de specialitate IT, utilizatori ai sistemelor / aplicaţiilor. 


Machetele constituie suportul pentru colectarea informaţiilor cantitative referitoare la 
infrastructura IT. Acestea sunt transmise entității auditate, spre completare. 


În condiţiile în care se colectează informaţii care reflectă performanţa sistemului, se 
utilizează chestionare proiectate de auditor, pe baza cărora, în urma centralizării și 
prelucrărilor statistice vor rezulta informaţii legate de satisfacția utilizatorilor, 
modernizarea activităţii, continuitatea serviciilor, creşterea calităţii activităţii ca urmare a 
informatizării și altele. 


Machetele şi chestionarele completate vor fi semnate de conducerea entității și predate 
echipei de audit. 

Machetele propuse pentru colectarea datelor referitoare la infrastructura IT şi la 
personalul IT sunt următoarele: 


Macheta 1 - Bugetul privind investiţiile IT; 

Macheta 2 - Sisteme / aplicaţii utilizate; 

Macheta 3 - Evaluarea infrastructurilor hardware, software și de comunicație; 
Macheta 4 - Informaţii privind personalul implicat în proiectele IT. 


Acestea pot fi modificate de auditor în funcție de contextul specific. 


Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste 
documente de lucru, respectiv listele de verificare, nu se pun la dispoziția entității 
vedere caracterul spontan al interviului, care nu permite celui intervievat să dea explicații 
prin corelarea prealabilă a întrebărilor din lista de verificare. În acest caz, probele de audit 
vor avea un grad de încredere mai ridicat. 

Un alt motiv îl constituie faptul că, prin interviu se vor detalia aspecte pe care, de obicei, 
cel care ar completa lista, le-ar formula într-un stil laconic. Pe parcursul interviului, 
auditorul consemnează răspunsurile celui intervievat, precum și comentarii personale şi 
alte constatări. 


Completarea listelor de verificare de către entitatea auditată reduce încrederea în probele 
de audit obținute în această manieră. 


Un model pentru o listă de verificare a controalelor generale IT este prezentat în Anexa 3, 
Lista de verificare pentru evaluarea controalelor generale IT (LV Controale generale), care 
conține următoarele secțiuni: 

1. managementul funcției IT; 

2. securitatea fizică și controalele de mediu; 

3. securitatea informaţiei și a sistemelor; 

4. continuitatea sistemelor; 
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5. managementul schimbării și dezvoltarea de sistem; 
6. auditul intern. 


Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative 
de către auditor, în funcție de obiectivele specifice ale auditului. 


Pentru evaluarea riscurilor, un model de listă de verificare este prezentat în Anexa 4, Lista 
de verificare pentru evaluarea riscurilor (LV_ Riscuri). 

Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative 
de către auditor, în funcție de obiectivele specifice ale auditului. 


Un model pentru o listă de verificare a controalelor de aplicaţie este prezentat în Anexa 5, 
Lista de verificare pentru evaluarea controalelor de aplicație (LV Controale Aplicaţie) care 
include următoarele categorii de controale de aplicaţie: 


controale privind integritatea fișierelor; 
controale privind securitatea aplicaţiei; 
controale ale datelor de intrare; 

controale de prelucrare; 

controale ale ieșirilor; 

controale privind reţeaua şi comunicația; 
controale ale fișierelor cu date permanente. 


Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative 
de către auditor, în funcție de obiectivele specifice ale auditului sau în condiţiile în care 
sunt necesare teste de audit suplimantare. 


Aceste liste de verificare sunt aplicabile pentru auditul în medii informatizate, în cadrul 
misiunilor de audit financiar sau de audit al performanţei, pentru evaluarea controalelor 
generale IT și a riscurilor generate de funcționarea sistemului informatic. În cazul 
misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar- 
contabil, pentru a formula o opinie privind încrederea în informaţiile furnizate de sistemul 
informatic auditorul public extern va utiliza lista de verificare pentru testarea 
controalelor IT specifice aplicaţiei financiar-contabile. 


In cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul 
funcționării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar. 


În cadrul entităților auditate, sistemele informatice care fac obiectul evaluării sunt 
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT/IS utilizate pentru 
evidenţa, prelucrarea și obţinerea de rezultate, situații operative şi sintetice la toate 
nivelele de raportare. Din acest motiv, o categorie specială de controale IT se referă la 
conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ și de 
reglementare. 


Cerinţele legislative şi de reglementare decurg din următoarele categorii de legi: 
e Legislația din domeniul finanţelor și contabilităţii; 
e Legislația privind protecţia datelor private şi legislația privind protecția datelor 
personale; 


e Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității 
informatice; 
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e Reglementări financiare și bancare; 
e Legislația cu privire la proprietatea intelectuală. 


În cazul sistemelor complexe sau desfăşurate la scară naţională (de exemplu, 
Sistemul Electronic Naţional) se folosesc liste de verificare specializate: 


- Lista de verificare pentru evaluarea guvernării IT, personalizată pentru sistemele de 
tip e-guvernare; 
- Lista de verificare pentru evaluarea portalului web; 
- Lista de evaluare a perimetrului de securitate; 
- Liste de verificare pentru evaluarea serviciilor electronice; 
- Liste de verificare pentru evaluarea cadrului de interoperabilitate, 
precum și alte liste de verificare a căror necesitate decurge din obiectivele auditului. 


Auditul performanţei implementării şi utilizării sistemelor informatice va lua în 
considerare următoarele aspecte: 

+ Modul în care funcționarea sistemului contribuie la modernizarea activității 
entității; 

+ Modul în care managementul adecvat al configuraţiilor IT contribuie la creşterea 
valorii adăugate prin utilizarea sistemului informatic, reflectat în economii privind 
costurile de achiziție și creșterea calităţii serviciilor; 

+ Creşterea semnificativă a productivității unor activități de rutină foarte mari 
consumatoare de timp și resurse, care, transpuse în proceduri electronice 
(tehnoredactare, redactarea automată a documentelor, căutări în arhive 
electronice, reutilizarea unor informaţii, accesarea pachetelor software legislative), 
se materializează în reduceri de costuri cu aceste activităţi; 

+  Scurtarea timpului de prelucrare prin reducerea numărului de erori şi evitarea 
reluării unor proceduri pentru remedierea acestora; 

+ Eliminarea paralelismelor și integrarea proceselor care se reflectă în eficientizarea 
activității prin eliminarea redundanţelor; 

+ Scăderea costurilor serviciilor, creșterea disponibilităţii acestora și scăderea 
timpului de răspuns; 

+ Creşterea gradului de instruire a personalului în utilizarea noilor tehnologii şi 
dezvoltarea de noi aptitudini; 

+ Reducerea costurilor administrative. 


Pentru evaluarea gradului în care implementarea și utilizarea sisemului informatic a 
produs efecte în planul modernizării activităţii, în creșterea calității serviciilor publice şi 
în ceea ce privește satisfacția utilizatorilor se pot proiecta și utiliza chestionare prin 
intermediul cărora se vor colecta informaţii care să reflecte reacţiile actorilor implicați 
(management, funcționari publici, utilizatori, personal IT, cetăţeni). 
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Glosar de termeni 


Acceptarea riscului - Decizie luată de management de acceptare a unui risc. 


Analiza riscului - Utilizarea sistematică a informaţiei pentru a identifica amenințările și 
pentru a estima riscul. 


Aria de aplicabilitate a unui audit - Domeniul acoperit de procedurile de audit care, în 
baza raționamentului auditorului și a Standardelor Internaţionale de Audit, sunt 
considerate ca proceduri adecvate în împrejurările date pentru atingerea obiectivului 
unui audit. 


Asigurare rezonabilă (în contextul unei misiuni de audit) - Un nivel de asigurare adecvat, 
ridicat dar nu absolut, reflectat în raportul auditorului ca fiind o asigurare rezonabilă cu 
privire la faptul că informaţiile auditate nu conțin greşeli semnificative. 


Audit extern - Un audit efectuat de un auditor extern. 


Autenticitate - Proprietate care determină că inițiatorul unui mesaj, fișier, etc. este în 
mod real cel care se pretinde a fi. 


Audit online - Auditare prin consultarea online a bazelor de date ale entităților auditate, 
aflate la distanţă. 


Audit continuu - Tip de auditare în care auditorul are acces permanent la sistemul 
informatic al entității auditate, diferența de timp între momentul producerii 
evenimentelor urmărite de auditor și obținerea probelor de audit fiind foarte mică. 


Autentificare - Actul care determină că un mesaj nu a fost schimbat de la momentul 
emiterii din punctul de origine. Un proces care verifică identitatea pretinsă de un individ. 


Autoritate de certificare - O organizaţie investită pentru a garanta autenticitatea unei 
chei publice (PKI). Autoritatea de certificare criptează certificatul digital. 


Backup - O copie (de exemplu, a unui program software, a unui disc întreg sau a unor 
date) efectuată fie în scopuri de arhivare, fie pentru salvarea fişierelor valoroase pentru a 
evita pierderea, deteriorarea sau distrugerea informațiilor. Este o copie de siguranță. 


Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor să 
navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, 
Mozilla. 


BSI (British Standards Institution) - Instituția care a publicat standardele naționale 


britanice care au constituit baza evoluţiei standardelor ISO 9001 (BS5750 - sisteme de 
management al calităţii) şi ISO 17799 (BS 7799 - managementul securităţii informaţiei). 
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CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - 
Software care poate fi utilizat pentru interogarea, analiza și extragerea de fişiere de date și 
pentru producerea de probe de tranzacţii pentru testele de detaliu. 


CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - 
calificare profesională oferită de Information Systems Audit and Control Association 
(ISACA) (Asociaţia de Audit şi Control al Sistemelor Informatice). 


Cloud Computing (configurație de nori) - Stil de utilizare a calculatoarelor în care 
capabilitățile IT se oferă ca servicii distribuite și permit utilizatorului să acceseze servicii 
bazate pe noile tehnologii, prin intermediul Internetului, fără a avea cunoștințe, expertiză 
sau control privind infrastructura tehnologică suport a acestor servicii. 


Confidenţialitate - Proprietate a informaţiei care asigură că aceasta nu este făcută 
disponibilă sau dezvăluită persoanelor, entităţilor sau proceselor neautorizate. 


Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru 
a permite proceselor cheie ale afacerii să continue operarea în urma unor căderi majore 
sau dezastre. 


Controale generale în sistemele informaţionale computerizate - Politici şi proceduri 
care se referă la sistemele informatice şi care susțin funcţionarea eficientă a controalelor 
aplicaţiilor contribuind astfel la asigurarea unei funcţionări adecvate şi continue a 
sistemelor informatice. Controalele informatice generale includ, în mod obișnuit, 
controale asupra securității accesului la date și rețele, precum și asupra achiziţiei, 
întreținerii și dezvoltării sistemelor informatice. 


Controlul accesului - Proceduri proiectate să restricționeze accesul la echipamente, 
programe și datele asociate. Controlul accesului constă în autentificarea utilizatorului şi 
autorizarea utilizatorului. Autentificarea utilizatorului se realizează, în general, prin 
intermediul unui nume de utilizator unic, al unei parole, al unui card de acces, al datelor 
biometrice. Autorizarea utilizatorului se referă la regulile de acces pentru a determina 
resursele informatice la care poate avea acces fiecare utilizator. 


Control intern - Procesul proiectat și efectuat de cei care sunt însărcinați cu guvernarea, 
de către conducere și de alte categorii de personal, pentru a oferi o asigurare rezonabilă în 
legătură cu atingerea obiectivelor entității cu privire la credibilitatea raportării financiare, 
la eficacitatea şi eficiența operaţiilor şi la respectarea legilor şi reglementărilor aplicabile. 
Controlul intern este compus din următoarele elemente: (a) Mediul de control; (b) 
Procesul de evaluare a riscurilor entității; (c) Sistemul informatic, inclusiv procesele de 
afaceri aferente, relevante pentru raportarea financiară şi comunicare; (d) Activităţile de 
control; şi (e) Monitorizarea controalelor. 


Controale de aplicaţie în sistemele informatice - Proceduri manuale sau automate care 
operează de obicei la nivelul proceselor întreprinderii. Controalele de aplicaţie pot fi de 
natură preventivă sau de detectare și sunt proiectate să asigure integritatea informațiilor. 
În mare parte, controalele de aplicaţie se referă la procedurile folosite pentru a iniţia, 
înregistra, procesa şi raporta tranzacţiile sau alte date financiare. 
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Controlul dezvoltării programelor - Proceduri menite să prevină sau să detecteze 
modificările inadecvate aduse programelor informatice care sunt accesate cu ajutorul 
terminalelor conectate online. Accesul poate fi restricționat prin controale cum ar fi 
folosirea unor programe operaționale separate sau a unor pachete de programe 
specializate dezvoltate special pentru acest scop. Este important ca modificările efectuate 
online asupra programelor să fie documentate, controlate şi monitorizate în mod adecvat. 


CRAMM (The CCTA Risk Analysis and Management Method) - Metodă de management şi 
analiză a riscului - este o metodă structurată pentru identificarea şi justificarea măsurilor 
de protecție care vizează asigurarea unui nivel adecvat de securitate în cadrul sistemelor 
IT. 


Criptare (criptografie) - Procesul de transformare a programelor și informaţiilor într-o 
formă care nu poate fi înțeleasă fără accesul la algoritmi specifici de decodificare (chei 
criptografice). 


Certificat digital - Conţine semnături digitale și alte informaţii care confirmă identitatea 
părților implicate într-o tranzacţie electronică, inclusiv cheia publică. 


Declaraţie de aplicabilitate - Declaraţie documentată care descrie obiectivele de control 
şi măsurile de securitate care sunt relevante şi aplicabile SMSI al organizaţiei. Obiectivele 
de control şi măsurile sunt bazate pe rezultatele şi concluziile analizei de risc şi pe 
procesele de tratare a riscului, cerințe legale sau de reglementare, obligații contractuale şi 
cerințele afacerii organizației pentru securitatea informaţiei. 


Determinarea riscului - Pprocesul global de analiză şi evaluare a riscului 


Disponibilitate - Capacitatea de a accesa un sistem, o resursă sau un fișier atunci când 
este formulată o cerere în acest scop. Proprietatea informaţiei de a fi accesibilă şi 
utilizabilă la cerere de către o entitate autorizată 


Documentarea misiunii de audit - Înregistrarea procedurilor de audit aplicate, a 
probelor de audit relevante, precum și a concluziilor la care a ajuns auditorul (termen 
cunoscut uneori şi ca „documente de lucru” sau „foi de lucru”). Documentaţia unei misiuni 
specifice este colectată într-un dosar de audit. 


Documentele de lucru - Materialele întocmite de auditor şi pentru uzul auditorului, sau 
obţinute și păstrate de acesta, în corelaţie cu derularea auditului. Documentele de lucru 
pot fi pe suport de hârtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de 
suport pentru stocarea datelor. 


e-audit - Tip de audit pentru care prezenţa fizică a auditorului nu este necesară la 
entitatea auditată, acesta având la dispoziție toate informațiile oferite de o infrastructură 


ITC pentru audit. 


EDI - Electronic Data Interchange este termenul generic pentru transmisia structurată a 
tranzacţiilor sau informaţiilor comerciale de la un sistem la altul. 


e-guvernare - Schimbul online al informației autorităților publice şi a guvernului cu, şi 
livrarea serviciilor către: cetățeni, mediul de afaceri şi alte agenții guvernamentale. 
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Guvernarea electronică presupune furnizarea sau obținerea de informaţii, servicii sau 
produse prin mijloace electronice către şi de la agenţii guvernamentale, în orice moment 
şi loc, oferind o valoare adăugată pentru părțile participante. 


e-sisteme - Sisteme bazate pe Internet și tehnologii asociate care oferă servicii electronice 
cetățenilor, mediului de afaceri și administraţiei: e-government, e-health, e-commerce, e- 
learning, etc. 


EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt 
utilizate pentru a transfera fonduri dintr-un cont bancar în alt cont bancar utilizând 
echipamente electronice în locul mediilor pe hârtie. Sistemele uzuale EFT includ BACS 
(Bankers' Automated Clearing Services) și CHAPS (Clearing House Automated Payment 
System). 


Eşantionarea în audit - Aplicarea procedurilor de audit la mai puţin de 100% din 
elementele din cadrul soldului unui cont sau al unei clase de tranzacţii, astfel încât toate 
unitățile de eşantionare să aibă o şansă de selectare. Aceasta îi va permite auditorului să 
obţină și să evalueze probe de audit în legătură cu unele caracteristici ale elementelor 
selectate pentru a formula o concluzie sau a ajuta la formularea unei concluzii în legătură 
cu populaţia din care este extras eșantionul. Eșantionarea în audit poate utiliza fie o 
abordare statistică, fie una nonstatistică. 


Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate în 
vederea stabilirii importanţei riscului. 


Eveniment de securitate a informaţiilor - situaţie identificată în legătură cu un sistem, 
un serviciu sau o reţea care indică o posibilă încălcare a politicii de securitate a 
informaţiilor, un eșec al măsurilor de protecție sau o situaţie ignorată anterior, dar 
relevantă din punct de vedere al securității. 


Firewall - Combinaţie de resurse informatice, echipamente sau programe care protejează 
o rețea sau un calculator personal de accesul neautorizat prin intermediul Internetului, 
precum şi împotriva introducerii unor programe sau date sau a oricăror alte programe de 
calculator neautorizate sau care produc daune. 


Frequently Asked Questions (FAQ) - Un termen care se referă la o listă de întrebări și 
răspunsuri furnizată de companii referitoare la produsele de software, web site, etc. 


Frauda - Act intenționat întreprins de una sau mai multe persoane din cadrul conducerii, 
din partea celor însărcinați cu guvernarea, a angajaţilor sau a unor terțe părți, care implică 
folosirea unor înșelătorii pentru a obţine un avantaj ilegal sau injust. 


Gateway - Interconexiunea între două rețele cu protocoale de comunicare diferite. 


Guvernare (guvernare corporativă) - Descrie rolul persoanelor cărora le este 
încredințată supervizarea, controlul și conducerea unei entități. Cei însărcinați cu 
guvernarea sunt, în mod obişnuit, răspunzători pentru asigurarea îndeplinirii obiectivelor 
entității, pentru raportarea financiară şi raportarea către părţile interesate. În cadrul celor 
însărcinați cu guvernarea se include conducerea executivă doar atunci când aceasta 
îndeplineşte astfel de funcţii. 
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Guvernarea electronică - Schimbul online al informației guvernului cu, și livrarea 
serviciilor către: cetățeni, mediul de afaceri şi alte agenţii guvernamentale (definiție 
INTOSAI). 


HelpDesk - Punctul principal de contact sau interfața dintre serviciile sistemului 
informatic şi utilizatori. Help desk este punctul unde se colectează şi se rezolvă 
problemele utilizatorului. 


Home Page - Pagina prin care un utilizator intră în mod obişnuit pe un web site. Aceasta 
conține și legăturile (linkurile) cele mai importante către alte pagini ale acestui site. 


Hypertext - Un sistem de scriere şi de afișare a textului care permite ca textul să fie 
accesat în moduri multiple, să fie disponibil la mai multe nivele de detaliu şi care conține 
legături la documente aflate în relaţie cu acesta. 


Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea 
documentelor de tip hipertext (inclusiv pentru scrierea paginilor pentru http://www). 
Acest limbaj permite textului sa includă coduri care definesc font-ul, layout-ul, grafica 
inclusă şi link-urile de hypertext. 


Internet - Un ansamblu de calculatoare conectate în rețea (la scară mondială) care 
asigură servicii de știri, acces la fişiere, poșta electronică şi instrumente de căutare și 
vizualizare a resurselor de pe Internet. 


Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet. 


Incident - Un eveniment operațional care nu face parte din funcționarea standard a 
sistemului. 


Incident privind securitatea informaţiei - un eveniment sau o serie de evenimente de 
securitate a informaţiei care au o probabilitate semnificativă de a compromite activitățile 
organizației și de a aduce ameninţări la securitatea informaţiei. 


Integritate - Proprietatea de a păstra acuratețea și deplinătatea resurselor. 

Instituţia Supremă de Audit - Organismul public al unui stat care, indiferent de modul în 
care este desemnat, constituit sau organizat în acest scop, exercită în virtutea legii cea mai 
înaltă funcţie de audit în acel stat. 

Intranet - Versiunea privată a Internetului, care permite persoanelor din cadrul unei 
organizaţii să efectueze schimburi de date, folosind instrumentele obișnuite ale 


Internetului, cum sunt browserele. 


Log (jurnal de operaţii) - O evidenţă sau un jurnal al unei secvențe de evenimente sau 
activități. 
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Managementul configurației - Procesul de identificare şi definire a componentelor de 
configuraţie într-un sistem, de înregistrare și raportare a stării componentelor din 
configuraţie şi a solicitărilor de modificare și verificare a integrităţii şi corectitudinii 
componentelor de configuraţie. 


Managementul riscului - Activităţi coordonate pentru îndrumarea și controlul unei 
organizații luând în considerare riscurile. 


Managementul schimbărilor - Procesul de control şi gestionare a solicitărilor de 
modificare a oricărui aspect al sistemului informatic (hardware, software, documentație, 
comunicații, fişiere de configurare a sistemului). Procesul de management al schimbărilor 
va include măsuri de control, gestionare și implementare a modificărilor aprobate. 


Mediu de control - Include funcţiile de guvernare și de conducere, precum și atitudinile, 
conştientizarea şi acțiunile celor însărcinați cu guvernarea și conducerea entității 
referitoare la controlul intern al entității și la importanţa acestuia în entitate. Mediul de 
control este o componentă a controlului intern. 


Mediu informatizat - Politicile şi procedurile pe care entitatea le implementează şi 
infrastructura informatică (echipamente, sisteme de operare etc.), precum şi programele 
de aplicație utilizate pentru susținerea operațiunilor întreprinderii și realizarea 
strategiilor de afaceri. Se consideră că un astfel de mediu există în cazul în care în 
procesarea de către entitate a informaţiilor financiare semnificative pentru audit este 
implicat un calculator, de orice tip sau dimensiune, indiferent dacă acest calculator este 
operat de către entitate sau de o terță parte. 


Metode biometrice - Metode automate de verificare sau de recunoaștere a unei persoane 
bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale, 
scrisul de mână și geometria facială sau retina), utilizate în controlul accesului fizic. 


Modem - O piesă de echipament utilizată pentru convertirea unui semnal digital dintr-un 
calculator, în semnal analog pentru transmiterea într-o reţea analogică (precum sistemul 
public de telefoane). Un alt modem aflat la capătul de primire convertește semnalul analog 
în semnal digital. 


Networks [reţele] - Interconectarea prin facilități de telecomunicaţie a calculatoarelor și 
a altor dispozitive. 


Ofiţer de securitate - Persoana responsabilă să asigure că regulile de securitate ale 
organizației sunt implementate și funcționează. 


Pista de audit - Un set cronologic de înregistrări care furnizează în mod colectiv proba 
documentară a prelucrării, suficientă pentru a permite reconstituirea, revizuirea şi 
examinarea unei activități. 


Planificarea continuității - Planificarea efectuată pentru a asigura continuitatea 
proceselor cheie ale afacerii după dezastre, căderi majore ale sistemelor sau în cazul 
imposibilității procesărilor de rutină. 
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Politica de securitate - Setul de reguli și practici care reglementează modul în care o 
organizație gestionează, protejează şi distribuie informaţiile sensibile. 


Probe de audit - Totalitatea informațiilor folosite de auditor pentru a ajunge la 
concluziile pe care se bazează opinia de audit. 


Protocol - Standarde și reguli care determina înțelesul, formatul și tipurile de date care 
pot fi transferate între calculatoarele din rețea. 


Resurse - Orice prezintă valoare pentru organizaţie. 
Risc rezidual - Riscul care rămâne după tratarea riscului. 


Reţea de arie largă (WAN) - O rețea de comunicații care transmite informaţii pe o arie 
extinsă, cum ar fi între locaţii ale întreprinderii, orașe sau ţări diferite. Rețelele extinse 
permit, de asemenea, accesul online la aplicaţii, efectuat de la terminale situate la distanţă. 
Mai multe reţele locale (LAN) pot fi interconectate într-o rețea WAN. 


Reţea locală (LAN) - O rețea de comunicaţii care deservește utilizatorii dintr-o arie 
geografică bine delimitată. Rețelele locale au fost dezvoltate pentru a facilita schimbul de 
informaţii și utilizarea în comun a resurselor din cadrul unei organizaţii, inclusiv date, 
programe informatice, depozite de date, imprimante și echipamente de telecomunicații. 
Componentele de bază ale unei rețele locale sunt mijloacele de transmisie și programele 
informatice, stațiile de lucru pentru utilizatori și echipamentele periferice utilizate în 
comun. 


Router - Un dispozitiv de rețea care asigură că datele care se transmit printr-o rețea 
urmează ruta optimă. 


Sectorul public - Guvernele naționale, guvernele regionale (spre exemplu, cele la nivel de 
stat, provincie sau teritoriale), administraţiile locale (spre exemplu, la nivel de oraș, 
municipiu) şi entitățile guvernamentale aferente (spre exemplu, agenții, consilii, comisii şi 
întreprinderi). 


Secure Socket Layer (SSL) - O tehnologie bazată pe web care permite unui calculator să 
verifice identitatea altui calculator şi permite conexiunile securizate. 


Securitatea informaţiei - Păstrarea confidenţialității, integrității şi a disponibilității 
informaţiei; în plus, alte proprietăți precum autenticitatea, responsabilitatea, non- 
repudierea şi fiabilitatea pot fi de asemenea implicate. 


Server - O unitate de calcul plasată într-un nod al reţelei care asigură servicii specifice 
utilizatorilor reţelei (de exemplu, un print server asigură facilități de imprimare în rețea, 
iar un file server stochează fişierele utilizatorului). 


Service level agreements - Acorduri sau contracte scrise între utilizatori și prestatorii de 
servicii, care documentează livrarea convenită a serviciilor IT. Acestea includ, de obicei, 
orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de 
răspuns, restricții şi funcționalitate. 
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Sistem de management al securităţii informaţiei (SMSI) - Partea din întreg sistemul de 
management, bazată pe o abordare a riscului afacerii, folosită pentru a stabili, 
implementa, funcționa, monitoriza, revizui, menţine și îmbunătăți securitatea informației. 
Sistemul de management include structuri organizaționale, politici, activități de 
planificare, responsabilități, practici, proceduri, procese și resurse. 


Sisteme informaţionale relevante pentru raportarea financiară - O componentă a 
controlului intern care include sistemul de raportare financiară şi constă din procedurile 
şi înregistrările stabilite pentru a iniția, înregistra, procesa și raporta tranzacţiile entității 
(precum şi evenimentele şi condiţiile) și pentru a menţine responsabilitatea pentru 
activele, datoriile şi capitalurile proprii aferente. 


Software social - Software de tip social (social networking, social collaboration, social 
media and social validation) este avut în vedere de organizaţii în procesul integrării 
întreprinderii. 


t-guvernare - Utilizarea tehnologiei comunicării informaţiei pentru a asigura (a 
permite) transformarea modului de lucru al guvernului, într-o manieră centrată pe client. 


Tehnologii informatice « verzi » (ecologice) - Sunt asociate cu evoluţia blade server, 
prin reorientarea către produse din ce în ce mai eficiente care pot permite funcționarea în 
manieră ecologică, având în vedere impactul asupra reţelei electrice şi a emisiilor de 
carbon. 


Test de parcurgere - Un test de parcurgere implică urmărirea câtorva tranzacții pe 
parcursul întregului sistem de raportare. 


TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al 
transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date 
între calculatoarele în reţea, inclusiv cele conectate la Internet. 


Tratarea riscului - Proces de selecție și implementare a unor măsuri în vederea reducerii 
riscului. 


Trojan horse (cal troian) - Program de calculator care realizează aparent o funcţie utilă, 
dar realizează și funcţii ascunse neautorizate (de exemplu, un program neautorizat care 
este ascuns într-un program autorizat și exploatează privilegiile de acces ale acestuia). 


User profile (profilul utilizatorului) - O listă de drepturi de acces ale unui anumit 
utilizator al sistemului. 


Virus - Sunt programe de calculator rău intenționate, autopropagabile care se atașează 
programelor executabile gazdă. 


Worms (viermi) - Viermii sunt programe de calculator rău intenționate, care se pot 
replica fără ca programul gazdă să poarte infecția. Rețelele sunt vulnerabile la atacurile 
viermilor, un vierme care intra în nodul unei rețele cauzează probleme locale în nod și 
trimite copii ale sale nodurilor vecine. 
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Anexa 2 - Lista documentelor 


a) Referitor la managementul tehnologiei informaţiei 


1. Structura organizațională. Fişe de post pentru persoanele implicate în proiectele 
informatice 


Strategia IT şi stadiul de implementare a acesteia 

Politici şi proceduri incluse în sistemul de control intern 

Legislaţie și reglementări care guvernează domeniul 

Documente referitoare la coordonarea şi monitorizarea proiectelor IT 
Raportări către management privind proiectele IT 

Buget alocat pentru proiectele informatice 

Documente referitoare la coordonarea şi monitorizarea proiectelor informatice 


PPOANDURPWIN 


Lista furnizorilor şi copiile contractelor pentru hardware și software (furnizare, 
service, mentenanţă, etc.) 


10. Rapoarte de audit privind sistemul IT din ultimii 3 ani 
11. Raportarea indicatorilor de performanţă 


b) Referitor la infrastructura hardware / software și de securitate a sistemului 


12. Infrastructura hardware, software şi de comunicație. Documentaţie de prezentare 


13. Politica de securitate. Proceduri generale. Proceduri operaționale IT (back-up, 
managementul capacității, managementul configuraţiilor, managementul 
schimbării proceselor, managementul schimbărilor tehnice, managementul 
problemelor etc.) 


14. Proceduri şi norme specifice, inclusiv cele legate de administrare şi securitate, în 
vederea creșterii gradului necesar de confidenţialitate și a siguranţei în utilizare, în 
scopul bunei desfășurări a procedurilor electronice și pentru asigurarea protecției 
datelor cu caracter personal 


15. Arhitectura de sistem. Categorii de servicii şi tehnologii utilizate 
16. Arhitectura de rețea. Tipuri de conexiuni 
17. Personalul implicat în proiecte. Număr, structură, calificare 


18. Manuale, documentaţie de sistem și orice alte documentații referitoare la aplicaţiile 
informatice 


c) Referitor la continuitatea sistemului 


19. Plan de continuitate a activităţii care face obiectul proiectelor IT 
20. Plan de recuperare în caz de dezastru 


d) Referitor la dezvoltarea sistemului 


21. Lista aplicaţiilor şi proiectelor IT (scurtă prezentare a portofoliului de proiecte) 
22. Stadiul actual, grafice de implementare şi rapoarte de utilizare 
23. Perspective de dezvoltare 
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e) Referitor la sistemul de monitorizare şi raportare 


24. Raportări ale managementului IT referitoare la proiectele informatice 
25. Rapoarte de monitorizare a modului de implementare a proiectelor informatice 
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Instituţia publică 


Macheta 1 


Localitatea = 
Judeţul i 
BUGET PRIVIND INVESTIȚIILE IT PENTRU ANUL 
Aa Proiect / Sistem / Aplicaţie Specificaţie Număr Valuare 

Servere 
Calculatoare PC 
Echipamente de reţea 
Licenţe 
Aplicaţii 
Personal 
Întreţinere 
Alte cheltuieli 

Notă: Se vor adăuga linii distincte pentru fiecare proiect / sistem / aplicaţie. 

TOTAL VALOARE 
Aprobat / Confirmat, Intocmit, 
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Instituţia publică 


Macheta 2 


Localitatea 
Judeţul 
Sisteme / aplicaţii utilizate 
Cod Denumire Categorie Producător SGBD / soi 
serviciu sistem / sistem/ Stadiul / Arhitectura Tehnologia i 
; P EE : Platforma şi 
informatic aplicaţie aplicaţie Furnizor 
j : dezvoltare 
1 - aplicație 1 - în curs de 1 - aplicație l-nouă 
2 - sistem implementare independentă 2-perimată 
informatic 2 - neoperațional 2 - client-server 
integrat 3 - operaţional 3 — aplicaţie 
3 - web 
managementul 
documentelor 
4 - arhiva 
electronică 
5 - altele 
Cod Aplicația 1 
Serviciul Aplicația 2 
informatic | .... 
#1 
Cod Aplicația ..... 
Serviciul 
informatic 
#2 
Aprobat / Confirmat, Intocmit, 
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Instituţia publică 


Localitatea 


Judeţul 


EVALUAREA INFRASTRUCTURILOR 
HARDWARE, SOFTWARE ȘI DE COMUNICAȚIE 


Macheta 3 


ECHIPAMENTE HARDWARE 


Nr. crt. 


Tip echipament 


Număr 


Servere (total) 


Servere securizate 


Calculatoare personale desktop (total) 


Calculatoare personale desktop legate în reţea 


Calculatoare portabile (laptop) 


Imprimante 


Scannere 


INIIAI, AIIN =| 


Alte tipuri de echipamente 
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LICENŢE SOFTWARE 


Nr. crt. Denumire Număr 
1 | Licenţe sistem de operare Windows XP 
2 | Licenţe sistem de operare Windows 2000 Professional 
3 | Licenţe sistem de operare Vista, Windows 7 etc. 

*) Se vor adăuga linii în funcție de numărul sistemelor de operare 
4 | Licenţe pentru aplicaţii de birotică 
CONECTARE LA INTERNET 

Nr. crt Tip conexiune Număr 
1 | Conectate prin linie telefonică (dial-up) 
2 | Conectate prin linie închiriată 
3 | Conectate prin radio 
4 | Conectate prin linie de cablu TV 
5 | Conexiune de banda largă 
6 | Conectare prin telefoane mobile cu acces la Internet 


Aprobat / Confirmat, 


Intocmit, 
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Instituţia publică 
Localitatea 
Judeţul 


INFORMAȚII PRIVIND PERSONALUL 
IMPLICAT ÎN PROIECTELE IT 


crt. 


Categorii de activități IT 


Număr 
personal 


Personal cu 
studii 
superioare 
care 
efectuează 
activități IT 


Dezvoltare de programe 


Consultanţă în domeniul hardware 


Consultanţă şi furnizare de produse software 


Prelucrarea informatică a datelor 


Activităţi legate de baze de date 


Activități legate de asigurarea securităţii sistemului 


Intreţinerea şi repararea echipamentelor 


Suport tehnic 


Telecomunicaţii (transmisie de date, acces Internet, etc.) 


Consultanţă şi management de proiect informatic 


TOTAL (studii superioare) 


Macheta 4 
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2 | Personal cu Operare 
studii medii 


TOTAL PERSONAL 


1 | Ponderea personalului ocupat al instituţiei care utilizează tehnica de calcul (%) 


2 Ponderea personalului ocupat din instituție care utilizează PC cu conectare Internet 
(%) 


3 | Ponderea personalului ocupat care utilizează munca la distanță (teleworking) (%) 


Aprobat / Confirmat, Intocmit, 
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Anexa 3 


Lista de verificare pentru evaluarea controalelor generale IT 


Domeniul de evaluare 


Comentarii /Constatări/Recomandări 


I. Managementul IT 


Implicarea conducerii entității în 
coordonarea activităţii IT 


a) 


In ce măsură este implicată 


conducerea entității în coordonarea 
activităţilor IT? 


b) Au loc întâlniri periodice între 


reprezentanții compartimentului IT și 
conducere? (modalitate, raportări, 
procese verbale ale întâlnirilor, 
minute) 


Comunicarea intenţiilor și obiectivelor 
conducerii 


a) 


b) 


Conducere a dezvoltat unui cadru de 
referință al controlului IT la nivelul 
întregii organizații, a definit și a 
comunicat politicile? 


Conducerea sprijină realizarea 
obiectivelor IT și asigură 
conştientizarea şi înțelegerea 
riscurilor afacerii şi a riscurilor ce 
decurg din IT, a obiectivelor și 
intenţiilor sale, prin intermediul 
comunicării? 


Raportarea către conducerea entității 


a) 


Există o raportare periodică a 
activităților IT către conducere? 


b) Ce indicatori de performanţă IT sunt 


aduşi la cunoştinţa conducerii, în mod 
formal? 
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Definirea proceselor IT, a funcţiei și a 
relaţiilor 


a) A fost definită o structură funcțională 
IT, luând în considerare cerinţele cu 
privire la personal, abilități, funcţii, 
responsabilităţi, autoritate, roluri şi 
supervizare? 


b) Această structură funcțională este 
inclusă într-un cadru de referință al 
procesului IT care asigură 
transparenţa şi controlul, precum și 
implicarea atât de la nivel executiv cât 
şi general? 


c) Sunt implementate procese, politici 
administrative şi proceduri, pentru 
toate funcţiile, acordându-se atenţie 
deosebită controlului, asigurării 
calității, managementului riscului, 
securității informațiilor, identificării 
responsabililor datelor şi sistemelor şi 
separării funcţiilor incompatibile. 


d) Care este implicarea funcţiei IT în 
procesele decizionale relevante pentru 
asigurarea suportului și susținerii 
cerințelor economice. 


e) Au fost stabilite rolurile şi 
responsabilităţile? 


f) A fostidentificat personalului IT critic, 
au fost implementate politicile și 
procedurile pentru personalul 
contractual? 


Cadrul organizatoric şi de 
implementare privind separarea 
atribuţiilor 


a) Există o structură organizatorică 
formală în care sunt cunoscute de 
către personal: modul de subordonare 
şi limitele de responsabilitate proprii 
şi ale celorlalți? 


b) Sunt incluse cu claritate a atribuţiilor 
personalului în fişa postului, în scopul 
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d) 


8) 


h) 


reducerii riscului efectuării de către 
acesta a unor acțiuni dincolo de 
limitele autorizate? 


Se utilizeazepararea sarcinilor 
realizată prin intermediul sistemului 
informatic, prin utilizarea de profile de 
securitate individuale și de grup, 
preprogramate 


Există interdicția ca personalul care 
are sarcini în departamentul IT, să 
aibă sarcini și în departamentul 
financiar-contabil sau personal? 


Există o separare fizică şi managerială 
a atribuţiilor, pentru a reduce riscul de 
fraudă? 


Sunt separate funcţii IT de cele ale 
utilizatorilor pentru a reduce riscul de 
efectuare de către utilizatori a unor 
modificări neautorizate ale softului 
sau ale datelor financiar-contabile, 
având în vedere că persoanele cu 
sarcini atât în domeniul financiar- 
contabil, cât și în domeniul IT au 
oportunități mai mari de a efectua 
activități neautorizate prin 
intermediul aplicaţiilor informatice, 
fără a fi depistaţi? 


Există un cadru formal de separare a 

sarcinilor în cadrul departamentului 

IT, pentru următoarele categorii de 

activităţi: 

+ Proiectarea și programarea 
sistemelor 

+  Întreţinerea sistemelor 

+ Operatii IT de rutină 

+ Introducerea datelor 

+ Securitatea sistemelor 

+ Administrarea bazelor de date 

+ Managementul schimbării și al 
dezvoltării sistemului informatic? 


Este realizată separarea sarcinilor de 
administrator de sistem de cele de 
control al securităţii sistemului? 
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j) 


k) 


1) 


Este asigurată separarea adecvată a 
sarcinilor pentru a reduce riscurile ca 
personalul cu cunoștințe semnificative 
despre sistem să efectueze acțiuni 
neautorizate şi să înlăture urmele 
acțiunilor lor? 


Există o separare eficientă a sarcinilor 
între dezvoltatorii de sisteme, 
personalul de operare a 
calculatoarelor și utilizatorii finali? 


Există interdicția ca programatorii să 
aibă acces la mediul de producţie 
(introducere de date, fişiere 
permanente date de ieşire, programe, 
etc.) pentru a-și îndeplini sarcinile? 


Există interdicția ca personalul care 
face programare să aibă permisiunea 
de a transfera software nou între 
mediile de dezvoltare, testare și 
producţie? 


m) Există interdicția ca personalul cu 


p) 


cunoştinţe de programare să aibă 
atribuții de operare care să permită 
efectuarea modificări neautorizate în 
programe? 


Este separată responsabilitatea 
privind operarea aplicației de control 
al patrimoniului, de responsabilitatea 
de a menține înregistrările contabile 
pentru acesta? 


Este utilizată separarea sarcinilor ca 
formă de revizie, de detectare a 
erorilor şi control al calității? 


S-au întreprins măsuri pentru 
conştientizarea personalului? 


Organizarea sistemului de 
monitorizare a activităţilor şi 
serviciilor IT 


a) 


Au fost stabilite atribuţiile privind 
monitorizarea consecventă a stadiului 
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b) 


proiectelor IT (desemnarea unui 
responsabil cu urmărirea 
implementării şi utilizării IT, 
evaluarea periodică a performanței 
utilizatorilor sistemului, instruirea 
periodică a personalului implicat în 
proiectele IT pentru a acoperi 
cerințele proceselor noului model de 
activitate)? 


Există fișe de post semnate pentru 
personalul implicat în proiectele IT? 


Estimarea şi managementul riscurilor 


IT 


a) 


b) 


Este creat şi întreținut un cadru de 
referință pentru managementul 
riscurilor care documentează un nivel 
comun și convenit al riscurilor IT, 
precum şi strategiile de reducere a 
riscurilor şi de tratare a riscurilor 
reziduale? 


Este întreținut şi monitorizat un plan 
de acțiune pentru reducerea riscului? 


Monitorizare şi evaluare 


a) 


b) 


c) 


d) 


Este măsurată performanța sistemului 
IT pentru a detecta la timp 
problemele? 


Managementul asigură eficiența şi 
eficacitatea controlului intern? 


Se efectuează evaluarea periodică a 
proceselor IT, din perspectiva calității 
lor şi a conformităţii cu cerințele 
controlului? 


Serviciile IT sunt asigurate 
corespunzător: sunt furnizate în 
conformitate cu prioritățile afacerii, 
costurile IT sunt optimizate, 
personalul poate folosi sistemele IT în 
mod productiv şi în siguranță iar 
confidențţialitatea, disponibilitatea și 
integritatea sunt adecvate? 
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Managementul investiţiilor/ 
managementul costurilor 


a) 


b) 


c) 
d) 


g) 


Există în entitate un cadru de referință 
pentru managementul financiar? 


Există un buget separat pentru 
investiții și cheltuieli legate de IT? 


Dacă da, este acesta urmărit periodic? 


Cine urmăreşte bugetul, cum se 
întocmește, cine îl aprobă? 


Se face o analiza a activităților față de 
Strategia IT a entității? 


Au fost stabilite priorități în cadrul 
bugetului IT? 


Este asigurată finanțarea IT? 


Managementul programelor și al 
proiectelor 


a) 


b) 


d) 


Pentru toate proiectele IT este stabilit 
un program și un cadru de referință 
pentru managementul proiectelor care 
garantează o ierarhizare corectă și o 
bună coordonare a proiectelor ? 


Include cadrul de referință un plan 
general, alocarea resurselor, definirea 
livrabilelor, aprobarea utilizatorilor, 
livrarea conform fazelor proiectului, 
asigurarea calității, un plan formal de 
testare, revizia testării şi revizia post- 
implementării cu scopul de a asigura 
managementul riscurilor proiectului și 
furnizarea de valoare pentru 
organizaţie. 


Se realizează monitorizarea 
activităților şi progresului proiectelor 
în raport cu planurile elaborate în 
acest domeniu? 


Este nominalizat unui colectiv și un 
responsabil care supraveghează 
desfășurarea activităților în 
concordanţă cu liniile directoare? 


Pag. 156 din 180 


e) 


Personalul este informat în legătură cu 
politicile, reglementările, standardele 
şi procedurile legate de IT? 


Există o raportare regulată către 
conducerea instituției a activităților 
legate de implementarea IT? 


Managementul calității 


a) 


b) 


Este dezvoltat și întreținut un Sistem 
de Management al Calităţii (SMC), 
incluzând procese şi standarde 
validate de dezvoltare și achiziție a 
sistemelor informatice? 


Au fost formulate cerinţe clare de 
calitate şi transpuse în indicatori 
cuantificabili și realizabili, proceduri și 
politici? 


Îmbunătăţirea continuă se realizează 
prin monitorizare permanentă, analiză 
şi măsurarea abaterilor şi 
comunicarea rezultatelor către 
beneficiari? 


Respectarea reglementărilor in 


a) 


b) 


domeniu 


Cine are responsabilitatea asigurării 
că aplicaţiile informatice sunt 
actualizate în conformitate cu ultima 
versiune furnizată? 


Există licenţe pentru tot software-ul 
folosit? Identificați şi menţionaţi ce 
software fără licenţă este folosit? 


Managementul resurselor umane IT 


a) 


b) 


Sunt definite şi agreate practici care 
sprijină menţinerea resurselor umane 
cu competenţă ridicată? 


Există politici și proceduri referitoare 
la recrutarea și retenția personalului? 
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c) 


d) 


e) 


Au fost stabilite competențele 
personalului, acoperirea rolurilor, 
dependența de persoanele critice? 


Se realizează evaluarea 
performantelor angajaților? 


Au fost implementate proceduri 
referitoare la schimbarea locului de 
muncă şi rezilierea contractului de 
muncă? 


Instruirea utilizatorilor și a 
personalului IT 


a) 


b) 


c) 


Au fost identificate necesitățile de 
instruire ale fiecărui grup de 
utilizatori? 


A fost definită şi implementată o 
strategie de creare a unor programe 
de instruire eficientă, cu rezultate 
cuantificabile: reducerea erorilor 
cauzate de utilizatori, creşterea 
productivității şi conformităţii cu 
controalele cheie (de 
exemplu,referitoare la măsurile de 
securitate)? 


Au fost realizate sesiunile de 
instruire? A fost efectuată evaluarea 
instruirii? 


Autorizarea operării și utilizării 


a) 


b) 


c) 


d) 


Sunt disponibile cunostințe despre 
noile sisteme? 


Sunt transferate cunoştinţe către 
managementul afacerii? 


Sunt transferate cunoştinţe către 
utilizatorii finali? 


Sunt transferate cunoştinţe către 
personalul care operează și cel care 
oferă suport? 
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II. Securitatea fizică și controalele de mediu 


Controlul accesului fizic 


a) 


b) 


c) 
d) 


e) 


Unde se află localizată camera 
serverelor? 


Există proceduri formale de acces în 
locațiile care găzduiesc echipamente 
IT importante? 


Cine are acces la servere? 


Cum se controlează accesul la servere 
(de exemplu, cartele de acces, chei, 
registre)? 


În cazul existenței cartelelor de acces, 
care este procedura de alocare a 
cartelelor către utilizatori şi cine 
verifică jurnalele (logurile) sistemului 
de carduri? 


Există cerința ca vizitatorii să fie 
însoțiți de un reprezentant al entității? 


Protecţia mediului 


a) 


Există în camera serverelor 
următoarele dotări: 

sisteme de prevenire a incendiilor 
dispozitive pentru controlul umidității 
podea falsă 

aer condiţionat 

dispozitive UPS 

senzori de mișcare 

camere de supraveghere video 


Detaliați pentru fiecare caz. 


b) 


c) 
d) 


Sunt serverele amplasate pe rackuri 
speciale? 

Sunt elementele active ale rețelei 
amplasate în rackuri speciale? 

Sunt cablurile de rețea protejate? Sunt 
acestea etichetate? 
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III. Securitatea informaţiei și a sistemelor 


Politica de securitate 


a) Există o politică de securitate IT? 


b) Există o persoană care este 
responsabilă cu actualizarea acestei 
politici? 


c) Este aceasta politică distribuită 
tuturor utilizatorilor? 


d) Ce măsuri s-au aplicat pentru a creşte 
conştientizarea în cadrul instituției cu 
privire la securitate (cursuri, 
prezentări, mesaje pe e-mail)? 


e) Este stabilită obligaţia ca utilizatorii să 
semneze că au luat la cunoștință de 
politica de securitate IT? Dacă da, cu 
ce periodicitate? 


Administrarea securităţii 


a) Exista un responsabil desemnat cu 
administrarea securităţii IT? 


b) Îndatoririle acestui responsabil sunt 
definite formal? 


c) Este asigurată separarea 
responsabilităților pentru această 
persoană? 


d) Aplicarea politicilor de securitate 
acoperă toate activitățile IT într-un 
mod consistent? 


Controlul accesului logic 


Revizuirea jurnalelor (logurilor) 


a) Sunt logurile aplicaţiilor importante 
monitorizate şi analizate periodic? 
Dacă da, detaliaţi (cine, când, cum, 
dovezi). 


Administrarea utilizatorilor 


a) Există o procedură pentru 
administrarea drepturilor 
utilizatorilor? Dacă da, detaliaţi. 
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b) Conţine procedura de mai sus 
măsurile ce trebuie luate în cazul în 
care un angajat pleacă din cadrul 
instituției? 


c) Există un formular pentru crearea și 
ştergerea conturilor de utilizator şi 
pentru acordarea, modificarea şi 
revocarea drepturilor de acces? Dacă 
da, cine îl aprobă? 


d) Au fost toate drepturile de acces 
acordate în baza acestui formular? 


e) Suntutilizatorii activi ai sistemului 
verificați periodic în concordanţă cu 
lista de angajaţi furnizată de 
departamentul Resurse umane? 


Reguli pentru parole 


a) Ce reguli pentru parole sunt definite 
pentru accesul în subsistemele IT? 


Trebuie avute în vedere următoarele 

criterii: 

- lungimea parolei 

- reguli referitoare la conţinutul parolei 

- perioada de valabilitate a parolei 

- numărul de încercări până la blocarea 
contului 

- cine poate debloca un cont 

- numărul de parole precedente reţinute 
de către sistem 

- utilizatorii sunt forțați să schimbe 
parola la prima accesare? 


Control asupra conturilor cu drepturi 
depline / utilitarelor de sistem 


a) Cine are drept de administrare pentru 
aplicaţiile / subsistemele de bază? 


b) Cine alocă şi autorizează conturile cu 
drepturi depline? 


c) Cine monitorizează activitățile 
utilizatorilor cu drepturi depline? 
Acces IT 


a) Au programatorii drepturi de acces la 
datele din mediul de producție? 


Pag. 161 din 180 


b) 


Are compartimentul IT drepturi de 
acces la datele celorlalte structuri ale 
entității ? Detaliați. 


Conexiuni externe 


a) 


b) 


c) 


e) 


g) 


Există desemnată o persoană pentru 
administrarea rețelei IT? 

Ce măsuri sunt luate pentru 
monitorizarea rețelei din punct de 
vedere al securității și al 
performanţei? 

Cum sunt protejate conexiunile 
externe împotriva atacurilor 
informatice (viruși, acces 
neautorizat)? 

Au existat astfel de atacuri? 

Ce organizații externe au acces la 
sistem? (de exemplu, Internet, 
conexiuni on-line) 

Există proceduri de control privind 
accesul de la distanță? 


Ce măsuri de securitate sunt aplicate 
în acest sens? Detaliaţi 


IV. Continuitatea sistemelor 


Copii de siguranţă (back-up) ale 
datelor, aplicaţiilor şi sistemelor 


a) 


b) 


d) 


Există o procedură formală de salvare 
(back-up)? 


Detaliaţi următoarele: 

tip de copie (automată / manuală) 
frecventa copiilor de siguranță 
conținutul copiei (date, aplicaţii, 
sisteme, tip: complet / incremental) 
locul de stocare a copiei/copiilor 
tipul de suport 

alte comentarii. 


Există o procedură de testare a 
copiilor de siguranță? Dacă da, cu ce 
frecvenţă și cum este ea evidenţiată? 


Există o procedură de recuperare / 
restaurare? 
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e) A analizat instituţia timpul necesar 
restaurării datelor /aplicaţiilor/ 
sistemului? 


Managementul datelor 


a) Au fost identificate cerinţele de date, 
sunt stabilite proceduri eficiente 
pentru a gestiona colecțiile de date, 
copiile de siguranță /backup și 
recuperarea datelor, precum şi 
distribuirea eficientă şi aranjarea 
cronologică a acestora pe 
suporturile de informaţii? 


b) Sunt stabilite aranjamente privind 
depozitarea și păstrarea datelor? 


c) Este reglementat sistemul de 
management al bibliotecii media? 


d) Sunt stabilite proceduri referitoare 
la eliminarea datelor perimate? 


e) Sunt stabilite cerințe şi proceduri de 
securitate pentru managementul 
datelor? 


Managementul performanţei și al 
capacităţii 


a) Entitatea a implementat un cadru 
procedural referitor la: planificarea 
performanţei și capacității, evaluarea 
performanţei și capacităţii actuale şi 
viitoare, monitorizare și raportare? 


b) Se realizează o analiză a capacităţii 
pentru hardware şi pentru rețea? Dacă 
da, cu ce periodicitate? Detaliați. 


c) Se realizează o analiză a performanței 
şi a capacităţii aplicaţiilor IT? Dacă da, 
ce indicatori sunt avuți în vedere? 
Detaliați. 


d) Se realizează o analiză a gâtuirilor de 
trafic? Dacă da, detaliați. 
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Managementul problemelor 


a) 


b) 


d) 


e) 


g) 


h) 


Cum se semnalează compartimentului 
IT apariția problemelor? 


Cum se ține evidența problemelor în 
cadrul compartimentului IT ? Există 
un registru al problemelor sau o altă 
formă de evidență? 


Există implementată o funcție de help- 
desk? Dacă da, ce date statistice sunt 
disponibile şi cum sunt ele utilizate? 


Ce etape trebuie urmate pentru 
rezolvarea problemelor? 


Verifică şi analizează conducerea lista 
de probleme? 


Există o procedură de urmărire a 
problemelor rămase deschise? 


Există o procedură în caz de 
nerezolvare a situaţiei? 


Sunt procedurile documentate și 
aduse la cunoștință celor direct 
implicați? 


Planificarea continuității 


a) 


b) 


c) 


d) 


a) 


Există un cadru de referință pentru 
continuitatea IT? Au fost stabilite 
resurselor IT critice? 


Există un plan privind asigurarea 
continuității activității instituției și, în 
particular, a operațiunilor IT? Dacă da, 
revizuiți şi evaluați planul. 


Este planul întreținut și testat cu 
regularitate? Dacă da, cu ce 
periodicitate? 

Au fost organizate instruiri privind 
planul de continuitate IT? 


Sunt stabilite proceduri pentru 
recuperarea și reluarea serviciilor IT, 
stocarea externă a copiilor de 
siguranță, revizia post-reluare? 
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Managementul operaţiunilor IT 


Proceduri operaţionale IT 


a) 


Sunt documentate următoarele 
proceduri operaţionale: 


Proceduri la început de zi / sfârșit de zi, 
dacă e cazul 


Proceduri de recuperare sau restaurare 
Instalare de software și hardware 
Raportarea incidentelor 


Rezolvarea problemelor 


Detaliaţi în fiecare caz. 


b) Cine este responsabil de actualizarea 


procedurilor operaționale IT? 


Protecţia împotriva viruşilor 


a) 
b) 


c) 


d) 


e) 


Ce soluție antivirus se foloseşte? 


Această soluție se aplică tuturor 
serverelor și stațiilor de lucru? 


Cum se realizează actualizarea 
fişierului de definiții antivirus? (Se va 
verifica actualitatea fişierele de 
definiții pentru server și câteva stații 
de lucru). 


Au utilizatorii permisiunea să 
dezactiveze software-ul antivirus la 
stația proprie de lucru? 


Software-ul antivirus scanează toate 
fişierele (pe server și stațiile de lucru) 
automat, în mod periodic? 


Managementul configuraţiilor 


a) 


b) 


Configuraţiile echipamentelor IT și ale 
aplicaţiilor sunt menținute în mod 
formal și în alte locaţii decât 
sistemele? 

Dacă da, unde şi ce măsuri de 
protecţie se utilizează? 


Configuraţiile sunt actualizate, 
comprehensive şi complete? 
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c) 


d) 


Manualele de instalare / utilizare sunt 
actualizate? 


Cum este informat personalul 
utilizator care sunt cele mai noi 
versiuni ale documentației? 


V. Managementul schimbării şi al dezvoltării sistemului 


Managementul schimbării 


a) 


b) 


c) 


d) 


e) 


g) 


h) 


i) 


Cine inițiază modificarea sau 
dezvoltarea aplicațiilor? 


Există un formular pentru cereri de 
modificare sau schimbare? Dacă da, 
cine trebuie să îl aprobe? 


Există o procedură pentru a se asigura 
că investiţiile în hardware, software şi 
servicii IT sunt evaluate 
corespunzător? Dacă da, detaliați. 


Au fost adoptate metodologii și 
instrumente standard pentru 
dezvoltarea unor aplicaţii „in site” (pe 
plan local)? Dacă da, utilizarea acestei 
metodologii este transpusă în 
proceduri documentate? 


Cum se asigură conducerea de 
armonizarea necesităților activității cu 
schimbările IT? 


Există o evidenţă a tuturor 
modificărilor efectuate? Dacă da, 
detaliați. 


Exista o separație a mediilor de 
producţie (operațional), de test şi de 
dezvoltare? 


Există o procedură de implementare a 
schimbărilor tehnice în mediul 
operațional? 


Sunt modificările de urgență permise 
în cadrul instituţiei? 


Dacă da: 


j) 


Există o etapizare privind 
documentarea, abordarea 
retrospectivă, testarea? 
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k) Cine inițiază, cine aprobă, cine 
efectuează, cine monitorizează aceste 
modificări? 

]) Există o evidenţă clară a acestor 
modificări? 

m) Se testează modificările de urgență? 

n) Ce măsuri de control se iau pentru ca 
doar modificările autorizate să fie 


transferate din mediul de test în cel de 
producţie? 


Procurarea resurselor 


a) Este implementat un cadru de control 
al achizițiilor? 


b) Se realizează managementul 
contractelor cu furnizorii, există 
politici pentru selectarea furnizorilor 
şi achiziţionarea resurselor? 


Instalarea și acreditarea soluţiilor și 
schimbărilor 


a) S-a efectuat instruirea pesonalului 
pentru utilizarea noului sistem? 


b) Au fost elaborate documente privind: 
Planul de testare, Planul de 
implementare? 


c) Există proceduri privind: mediul de 
test, conversia sistemului și a datelor, 
testarea schimbărilor, testul final de 
acceptare, promovarea în producţie, 
revizia post-implementare? 


Achiziţia şi întreţinerea aplicaţiilor 
software 


a) A fost asigurat cadrul pentru 
desfășurarea următoarelor activităţi şi 
satisfacerea următoarelor cerinţe: 

o Proiectarea de nivel înalt 
o Proiectarea detaliată 
o Controlul şi auditabilitatea 
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aplicaţiilor 

o Securitatea și disponibilitatea 
aplicaţiilor 

o Configurarea și implementarea 
aplicaţiilor software achiziționate 

o Actualizări majore ale sistemelor 
existente 

o Dezvoltarea aplicaţiilor software 

o Asigurarea calității software 

o Managementul cerinţelor 
aplicaţiilor 

o Întreţinerea aplicaţiilor software? 


Achiziţia și întreţinerea infrastructurii 
tehnologice 


a) A fost asigurat cadrul pentru 


desfășurarea următoarelor activităţi şi 

satisfacerea următoarelor cerinţe: 

o Planul de achiziţie a infrastructurii 
tehnologice 

o Protecția și disponibilitatea 
resurselor infrastructurii 

O Întreţinerea infrastructurii 

o Mediul de testare a fezabilităţii? 


VI. Auditul intern IT 


Audit intern IT 


a) 


Cum este asigurată funcția de audit 
intern privind domeniul IT în cadrul 
instituției? 


Care este pregătirea profesională a 
auditorilor interni în domeniul IT? 


Ce metodologie folosesc aceştia? 


Care este ritmicitatea elaborării 
Raportului de audit intern? Conţine 
acesta aspecte legate de activitatea IT? 
Dacă da, precizați cum se valorifică 
constatările? Dacă nu, v-aţi propus 
abordarea aspectelor legate de IT în 
rapoartele viitoare? 
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Anexa 4 


Lista de verificare pentru evaluarea riscurilor IT 


Arii de risc 


Nivel 


risc 


Comentarii / Observații / 
Concluzii 


I. Dependenta de IT 


Complexitatea sistemului IT 


a) 


b) 


c) 
d) 


Determinaţi volumul tranzacţiilor 
gestionate de fiecare din aplicaţiile 
informatice (subsisteme). 


Determinaţi cât de nouă este tehnologia 
utilizată, pentru fiecare din subsistemele 
sistemului informatic. 


Determinați modul de operare. 


Preluarea datelor are loc în format 
electronic sau manual (suport hârtie), în 
timp real sau pe loturi? 


Timpul de supravieţuire fără IT 


a) 


b) 


Care ar fi consecinţele asupra activităţii 
curente în eventualitatea întreruperii 
funcționării sistemului informatic sau a 
unui subsistem al acestuia? 


Evaluaţi: posibilitatea refacerii 
funcționalității, costurile, intervalul de timp 
necesar pentru reluarea funcționării, 
impact economic, social, de imagine, etc. 


II. Resurse umane şi cunoştinţe IT 


Aptitudini curente 


a) 


Structura profesională a angajaților din 
compartimentul IT (organigramă, număr, 
stat funcțiuni, fişe de post etc.) sau a 
persoanelor care au responsabilități 
privind serviciile IT externalizate 
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b) Care este nivelul de pregătire al angajaţilor 
IT în raport cu necesitățile activității 
curente? 


c) Există anumite cunoștințe IT care sunt 
concentrate la nivelul unui număr restrâns 
de personal? 


d) Care sunt metodele de evaluare ale 
personalului IT? 


Resurse umane comparate cu volumul de 
muncă 


a) Personalul IT este suficient în raport cu 
volumul de muncă? 


b) Personalul IT este supraîncărcat? 


c) Activitatea personalului IT este una 
specifică exclusiv domeniului IT? 


Fluctuaţia personalului 


a) Care a fost fluctuaţia personalului IT în 
ultima perioadă (de exemplu, 3 ani)? 


b) Cum este apreciat moralul personalului IT? 
(nivel de salarizare, stimulente, posibilități 
de promovare, stagii de pregătire și de 
perfecţionare etc.). 


III. Încrederea în IT 


Complexitatea sistemului şi documentaţia 
aplicaţiilor informatice 


a) Cum este apreciată complexitatea 
aplicaţiilor (subsistemelor) din cadrul 
sistemului informatic? 


b) Aplicațiile sunt utilizate preponderent 
pentru înregistrarea şi raportarea datelor? 


c) Ce interfețe există între aplicaţii? 
Erori / intervenţii manuale 


a) Care este tipul şi numărul și erorilor 
constatate în cazul fiecărei aplicaţii în 
parte? 


Pag. 170 din 180 


b) In ce măsură datele generate de aplicaţii 
suferă prelucrări manuale ulterioare din 
partea utilizatorilor? 


c) Există probleme de reconciliere între 
datele furnizate de diverse aplicații sau 
chiar în cadrul aceleiaşi aplicaţii? 


Scalabilitate 


a) În ce măsură sistemul informatic actual 
poate suporta creşterea volumului de 
operațiuni şi/sau de date? 


Sisteme depășite 


a) Tehnologia folosită este de ultimă 
generație? 


IV. Schimbări în IT 


Dezvoltarea de aplicaţii informatice 


a) Există o metodologie de dezvoltare internă 
a aplicaţiilor informatice? 


Noi tehnologii 


a) Schimbările în sistemele IT au în vedere 
tehnologii de ultima generație? 


Modificări ale proceselor activităţii 


a) În ce măsură se vor impune în viitorul 
apropiat modificări structurale ale 
proceselor activității care să atragă 
modificări ale sistemului informatic? 
Este pregătit cadrul de reglementare în 
acest sens? 


IV. Externalizarea IT 


Externalizarea 


a) Care este nivelul externalizării, incluzând 
suportul tehnic, operare, dezvoltare, suport 
utilizatori etc.? 


b) Există o politică de externalizare a 
activităților IT (existenţa unor colaboratori, 
furnizori de servicii IT, etc.) bazată pe: 
identificarea relaţiilor cu toţi furnizorii, 
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managementul relaţiilor cu furnizorii, 
managementul riscului asociat 
furnizorilor? 


c) Au fost incluse clauze de tip SLA (Service 
Level Agreement) în contractele cu 
furnizorii de servicii? 


d) Au fost incluse clauze de confidenţialitate 
în contractele cu furnizorii de servicii? Este 
monitorizată performanţa furnizorului? 


Furnizorii IT 


a) Ce riscuri decurg din contractele cu 
furnizorii? 


b) Se efectuează o analiză privind nivelul de 
dependenţă față de furnizor? 


Dezvoltarea de aplicaţii informatice de 
către utilizatori 


a) In ce măsură aplicaţiile informatice sunt 
dezvoltate intern? 


V. Focalizarea pe activităţile afacerii 


Conştientizarea conducerii privind 
riscurile IT 


a) In ce măsura conducerea este conștientă de 
importanța sistemelor IT şi a riscurilor 
conexe? 


b) Este implementat un registru al riscurilor 
care să reflecte abordarea managementului 
cu privire la modelul de risc şi de 
management al riscurilor? 


Necesităţi curente în raport cu 
funcţionalitatea sistemului informatic 


a) Sistemul informatic acoperă necesitățile 
activității curente? 
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VI. Securitatea informaţiei 


Motivația pentru fraudă / infracţiuni 
(internă și externă) 


a) Care sunt tipurile de informaţii gestionate 
de către fiecare din aplicaţiile sau 
subsistemele informatice? 


b) In ce măsură ar fi afectată reputația 
instituţiei în caz de fraudă informatică? 
Detaliați. 


Sensibilitatea datelor 


a) Sunt confidenţiale datele gestionate de 
către aplicaţiile informatice? In ce grad? 


Legislaţie şi regulamente 


a) Domeniul de activitate este riguros 
reglementat? 


b) Există date cu caracter personal gestionate 
de aplicaţiile IT? Dacă da, detaliați cum 
sunt acestea gestionate și care este 
modalitatea de aliniere la legislaţia în 
vigoare care reglementează domeniul. 
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Anexa 5 


Lista de verificare privind evaluarea controalelor de aplicaţie 


Controale de aplicaţie / Teste 


Comentarii / Observaţii 


CA1 - Descrierea aplicaţiei 


a) Care sunt funcţiile pe care le realizează 
aplicația? 


b) Prezentaţi arhitectura aplicaţiei (platforma 
hardware / software, produsele software 
de tip instrument, sistemul de gestiune a 
bazelor de date, sistemul de comunicaţie). 


c) Este desemnat un administrator al 
aplicaţiei? 


d) Care este numărul utilizatorilor? Cine sunt 
utilizatorii? 


e) Care sunt volumul și valoarea tranzacţiilor 
procesate lunar de aplicaţia financiar- 
contabilă 


f) Puncte slabe sau probleme cunoscute 


CA2 - Posibilitatea de efectuare a auditului 


a) Evidenţele tranzacţiilor să fie stocate şi să 
fie complete pentru întreaga perioadă de 
raportare. 


b) Evidenţierea unei tranzacţii să conţină 
suficiente informaţii pentru a stabili un 
parcurs de audit. 


c) Totalurile tranzacţiilor să se regăsească în 
situaţiile financiare. 


CA3 - Utilizarea CAAT 


a) Identificarea informaţiilor care vor fi 
necesare pentru prelucrare în scopul 
obţinerii probelor de audit 
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b) 


c) 


d) 


g) 


h) 


i) 


Obținerea datelor într-un format adecvat 
pentru a fi prelucrate 


Stocarea datelor într-o structură care să 
permită prelucrările impuse de necesitățile 
auditului 


Obținerea asigurării privind versiunea de 
programe utilizată şi corectitudinea 
surselor de date 


Înțelegerea modului în care operează 
sistemul (identificarea fişierelor care 
conțin datele de interes şi a structurii 
acestora 


Cunoaşterea structurii înregistrărilor, 
pentru a le putea descrie în programul de 
interogare 


Formularea interogărilor asupra fişierelor 
/ bazelor de date 


Cunoaşterea modului de operare a 
sistemului 


Determinarea criteriilor de selecție a 
înregistrărilor în funcție de metoda de 
eşantionare și de tipurile de prelucrări 


Interogarea sistemului şi obținerea 
probelor de audit. Trebuie adoptată cea 
mai adecvată formă de prezentare a 
rezultatelor. 


CA4 - Determinarea răspunderii 


a) 


b) 


c) 


Implementarea unor controale care 
identifică şi raportează acțiunile 
utilizatorilor și înregistrează informaţiile 
într-un registru de audit 


Conducerea examinează în mod regulat 
rapoartele de excepţii extrase din registrul 
de audit și ia măsuri de urmărire ori de 
câte ori sunt identificate discrepanțe 


Există controale adecvate pentru a asigura 
că personalul care introduce sau 
procesează tranzacții nu poate să modifice 
şi înregistrările aferente activităților lor, 
înscrise în registrul de audit 
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d) 


Integritatea registrelor de audit este 
asigurată prin criptarea datelor sau prin 
copierea registrului într-un director sau 
fişier protejat 


CA5 - Documentaţia aplicaţiei 


a) 


Evaluaţi dacă documentația aplicației este 
adecvată, este cuprinzătoare și actualizată, 
dacă personalul îndreptăţit are copii ale 
documentației relevante sau acces la 
aceasta, dacă există instrucțiuni de lucru 
pentru procedurile zilnice și pentru 
rezolvarea unor probleme frecvente, dacă 
se păstrează copii de rezervă ale 
documentației aplicaţiei în scopul 
recuperării după dezastru și al reluării 
rapide a procesării. 


CA6 - Securitatea aplicaţiei: acces fizic şi logic 


a) 


b) 


d) 


Evaluaţi protecţiile fizice în vigoare pentru 
a preveni accesul neautorizat la aplicaţie 
sau la anumite funcţii ale acesteia, în 
funcție de atribuţii, pentru punerea în 
aplicare a separării sarcinilor și a 
respectării atribuţiilor 


Se vor testa controalele logice de acces 
utilizate pentru a restricționa accesul la 
aplicație sau la anumite funcţii ale acesteia 
pentru punerea în aplicare a separării 
sarcinilor şi a respectării atribuţiilor 


Se vor testa controalele logice existente 
pentru restricționarea activității 
utilizatorilor după ce a fost obținut accesul 
la o aplicație (de exemplu, meniuri 
restricționate) 


Evaluaţi controalele existente în cadrul 
aplicației pentru identificarea acțiunilor 
utilizatorilor individuali (utilizarea de 
identificări unice, jurnale de operații, 
utilizarea semnăturii electronice) 


Pag. 176 din 180 


CA7- Controale la introducerea datelor 


a) 


b) 


c) 


Evaluați procedurile / controalele existente 
care să asigure că introducerea datelor este 
autorizată şi exactă. 


Evaluaţi controalele care asigură că toate 
tranzacţiile valabile au fost introduse 
(verificări de completitudine şi exactitate), 
că există proceduri pentru tratarea 
tranzacţiilor respinse sau eronate. 


Verificaţi acțiunile care se întreprind 
pentru monitorizarea datelor de intrare. 


CA8 - Controale ale transmisiei de date 


a) 


b) 


Verificaţi că transferul de date în reţea este 
atât complet, cât și exact (utilizarea 
semnăturii digitale, criptarea datelor, 
secvențierea tranzacţiilor). 


Evaluaţi modelul de identificare şi tratare a 
riscurilor asociate transferului de date în 
reţea. 


CA9 - Controalele procesării 


a) 


b) 


c) 


d) 


Evaluați controalele existente care să 
asigure că toate tranzacțiile au fost 
procesate, pentru a reduce riscul de 
procesare a unor tranzacții incomplete, 
eronate sau frauduloase. 


Evaluaţi controalele existente care să 
asigure că fişierele sunt procesate corect 
(controalele pot fi de natură fizică sau 
logică şi previn riscul de procesare 
necorespunzătoare a unor tranzacții). 


Verificaţi modul în care aplicaţia şi 
personalul tratează erorile de procesare. 


Verificaţi existența controalelor pentru a 
asigura exactitatea procesării și a 
controalelor pentru detectarea / 
prevenirea procesării duble. 
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CA10 - Controale la ieșire 


a) Verificaţi existența controalelor care să 
asigure că ieșirile de la calculator sunt 


stocate corect și atunci când sunt transmise 


acestea ajung la destinație. 


b) Verificaţi existența controalelor 


corespunzătoare privind licenţele software. 


c) Verificaţi existența controalelor privind 
caracterul rezonabil, exactitatea şi 
completitudinea ieşirilor. 


CA11 - Controalele datelor permanente 


a) Verificaţi existenţa şi testați controalele 
privind autorizarea accesului şi a 
modificărilor datelor permanente. 


CA12 - Conformitatea cu legislaţia 


a) Existenţa unor politici sau proceduri 
formale prin care se atribuie 
responsabilitatea monitorizării mediului 
legislativ care poate avea impact asupra 
sistemelor informatice 


b) 


Este alocată responsabilitatea asigurării 
conformităţii aplicaţiilor cu clauzele 
contractuale privind: 


asigurarea că sistemul implementat 
este actualizat în conformitate cu 
ultima versiune furnizată; 


respectarea termenelor privind 
distribuirea ultimelor versiuni de 
echipamente, software, documentaţie; 


livrarea și instalarea configurațiilor 
hardware / software pe baza unui 
grafic, conform clauzelor contractuale, 
pe etape și la termenele stabilite; 
respectarea obligaţiilor privind 
instruirea și suportul tehnic, stabilite 
prin contract; 

furnizarea pachetelor software conform 
clauzelor contractuale. Verificarea 
existenţei și valabilităţii licenţelor 
furnizate în cadrul contractului; 
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+ asigurarea suportului tehnic (prin 
telefon, e-mail sau utilizând un portal; 
portalul poate avea secțiuni distincte 
foarte utile pentru suport tehnic 
specializat pe categorii relevante de 
probleme / anomalii sau pentru 
instruirea continuă a utilizatorilor; 

+ furnizarea documentaţiei tehnice 
conform contractului: conținutul (lista, 
numărul manualelor, limba) și formatul 
(tipărit, în format electronic, on-line); 


c) Existenţa unor proceduri scrise privind 
analiza şi acceptarea produselor şi 
serviciilor furnizate în cadrul contractului, 
precum şi recepţia cantitativă şi calitativă 


d) Existenţa specificaţiilor funcționale, a 
manualelor de utilizare şi administrare 
pentru proiectele de dezvoltare software 


e) Existența manualelor de utilizare pentru 
echipamentele livrate. 


CA13 - Efectuarea testelor de audit 


a) Verificaţi existența evidenţelor complete 
ale tranzacţiilor aferente aplicației. 


b) Evaluaţi fezabilitatea colectării probelor de 
audit relevante şi suficiente. 


c) Evaluaţi dacă parcursul (pista) de audit se 
poate reconstitui din fluxul de prelucrare. 


d) Evaluaţi dacă aplicaţia este disponibilă 
atunci când este nevoie, funcționează 
conform cerinţelor, este fiabilă și are 
implementate controale sigure asupra 
integrității datelor. 


e) Detaliați procedura de actualizare a 
aplicației ca urmare a modificărilor 
legislative. 


f) Evaluaţi aplicaţia din punct de vedere al 
gestionării resurselor informatice 
disponibile (date, funcționalitate, 
tehnologii, facilități, resurse umane, etc.). 


g) Evaluaţi cunoașterea funcționării aplicaţiei 
de către utilizatori. 
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h) 


k) 


1) 


Se vor efectua teste de verificare a 
parametrilor şi funcționalității aplicației 
din punct de vedere operațional şi al 
conformităţii cu legislația în vigoare. 


Se vor efectua teste de verificare la nivel de 
funcţie pentru procedurile critice din 
punctul de vedere al performanței 
(lansarea, derularea și abandonarea 
procedurilor, accesul la informații în funcţie 
de perioada de înregistrare/raportare, 
restaurarea bazei de date). 


Se vor efectua teste privind corectitudinea 
încărcării / actualizării informaţiilor în 
baza de date. Se vor menţiona metodele de 
depistare şi rezolvare a erorilor. Se vor 
testa funcțiile de regăsire și analiză a 
informaţiei. 


Evaluaţi interoperabilitatea aplicaţiei cu 
celelalte aplicaţii din sistemul informatic. 


Evaluaţi sistemul de raportare propriu al 
aplicaţiei şi sistemul de raportare global. 


m) Se vor efectua teste privind modul de 


n) 


0) 


p) 


q) 


accesare a aplicației la nivel de rețea, la 
nivelul stației de lucru şi la nivel de 
aplicație. 


Se vor testa funcțiile de conectare ca 
utilizator final și de operare în timp real, pe 
tranzacţii de test. 


Evaluati funcționalitatea comunicării cu 
nivelele superior și inferior. 


Analizați soluţia de gestionare a 
documentelor electronice. 


Verificaţi prin teste protecţiile aferente 
aplicaţiei. 
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